Le wifi de mon école demande de 'faire confiance' à un certificat sur Iphone, cela leur permet-il de voir le trafic SSL?
Il y a beaucoup de confusion à ce sujet ici, donc je fais ce post pour être sûr de bien le comprendre. Mon école utilise les réseaux Aruba wifi, et après avoir tapé mon nom d'utilisateur et mon mot de passe Active Directory (authentification RADIUS), il me dit que je dois faire confiance à un certificat de 'wifiaruba.myschoolname.com' (Organisation: Mon école) délivré par DigiCert SHA2 High Assurance Server CA (nom de l'émetteur, du moins c'est ce que dit le certificat). Je clique sur confiance et ça s'en va. Mon téléphone ne fait pas confiance à cela par défaut, semble-t-il. Est-ce parce que cela permet théoriquement à mon école de décrypter les communications SSL? Si c'était vraiment de DigiCert, mon téléphone lui ferait sûrement confiance?
C'est bon. Le certificat que vous avez installé et approuvé est utilisé pour vous fournir une authentification sécurisée contre leur serveur RADIUS et vous empêcher de vous connecter à un serveur escroc RADIUS server. Si quelqu'un décide de voler) vos informations d'identification Active Directory en installant un serveur non fiable RADIUS votre téléphone apparaîtra avec un avertissement indiquant que le certificat RADIUS n'est pas approuvé).
En faisant confiance à ce certificat, vous ne risquez rien d'autre. Ce certificat ne peut pas être utilisé par l'école pour lire votre trafic SSL ou tenter de MITM votre trafic SSL. D'après ce que j'ai lu dans votre question, votre école le fait correctement et se soucie de votre sécurité.
Ce n'est pas un problème dans le contexte SSL, car vous savez à quel type de certificat vous vous attendez, car vous tapez manuellement le nom du site Web dans la barre d'adresse. En wi-fi, je ne sais pas à quel AP vous êtes connecté et pour vous assurer qu'il est légitime, AP doit fournir un certificat RADIUS auquel vous faites explicitement confiance).
Mon téléphone ne fait pas confiance à cela par défaut, semble-t-il. Est-ce parce que cela permet théoriquement à mon école de décrypter les communications SSL?
Sur la base de votre description, non.
Si c'était vraiment de DigiCert, mon téléphone lui ferait sûrement confiance?
Le problème est qu'avant de vous authentifier sur le réseau sans fil, vous n'êtes pas réellement connecté au réseau et ne pouvez atteindre aucun autre hôte. Lorsque votre appareil tente de s'authentifier, le demandeur EAP de votre téléphone ne communique qu'avec le serveur d'authentification.
Avec la plupart des méthodes EAP utilisées par la technologie sans fil 802.11, le serveur présentera un certificat au demandeur EAP et le demandeur doit prendre une décision s'il transmettra vos informations d'identification (nom d'utilisateur/mot de passe) au serveur. Étant donné que votre appareil n'est pas encore connecté au réseau, le demandeur EAP fonctionne avec des connaissances limitées.
Au minimum, sauf si la validation du certificat est désactivée, le demandeur EAP vérifiera que le certificat est un certificat valide émis par une autorité de certification approuvée et que le nom d'hôte répertorié sur le certificat correspond au nom d'hôte du serveur d'authentification.
Avec certains suppliants EAP, vous pouvez également configurer en option une ou des autorités de certification désignées comme émetteur du certificat (c'est-à-dire uniquement à partir de Thawte ou Digicert) et/ou des noms d'hôte spécifiques pour les serveurs d'authentification. De nombreux appareils mobiles (téléphones, tablettes, etc.) ne disposent pas de ces options.
Sans utiliser ces options ou une autre sorte de vérification, votre téléphone accepterait automatiquement tout serveur d'authentification qui fournirait un certificat valide avec un nom d'hôte correspondant. Cela permettrait à un attaquant d'usurper l'identité du réseau sans fil de votre école et de capturer les informations d'identification sur son propre "serveur d'authentification". L'invite à accepter le certificat est votre chance d'approuver ou de refuser l'envoi de vos informations d'identification au serveur d'authentification.
Une fois que vous avez accepté le certificat la première fois, vous ne devriez plus voir l'invite que si votre téléphone présente un certificat différent (ou si vous supprimez et rajoutez le profil sans fil). Certaines écoles auront plusieurs serveurs d'authentification, il n'est donc pas rare de voir cela plusieurs fois. Cependant, si vous trouvez un certificat suspect (par exemple "arubuwifi.jimbobscomputers.com"), vous ne devez pas l'accepter.