将不受信任的证书添加到受信任的根证书颁发机构是否安全?

将不受信任的证书添加到受信任的根证书颁发机构是否安全?

我在工作时上网之前必须登录他们的系统。登录页面是西南大学ipass网站。不幸的是,他们使用的安全证书显示为不受信任(在 Chrome 中)。每次我想访问他们的登录页面时,我都必须单击“仍然继续”。

我可以看到这个答案我可以导出他们的证书,然后将其添加为 Windows 中受信任的根证书颁发机构。

我的问题是这样的。我实际上并不信任网络。我在泰国的一所大学工作,网络上的许多计算机都感染了病毒。我甚至不信任这里负责 IT 的计算机中心。所以我只想信任他们的证书以访问他们的登录页面 ipass.swu.ac.th,仅此而已。如果我将他们的证书添加为受信任的根颁发机构,我不知道这种信任会延伸到多远。

举一个具体的例子,当我打开 iTunes 时,如果我之前没有登录过 ipass.swu.ac.th,它会抱怨无法安全地访问 Apple 的服务器。这很好 - 我想保留这个警告。我只想与 ipass.swu.ac.th 分享我的大学用户名和密码。我不想与他们分享任何其他凭据,我担心如果我信任权威机构,iTunes 等应用程序可能会与大学计算机中心共享私人信息。

答案1

受信任的根证书是受信任的证书,可用于为其他域颁发证书。如果您将大学的证书添加为受信任的根证书,大学就有可能冒充其他受 SSL 保护的网站,以拦截和窃听您与这些网站的连接。(这称为中间人攻击

这是大学必须故意为之的事情——他们不会因为你安装了证书而“意外地”从你的应用程序中获取信息——但这并非闻所未闻。一些公司的 IT 部门专门为此在其所有计算机上安装公司根证书。

如果您所在大学的网络安全状况不佳,外部攻击者也有可能闯入并窃取大学证书的私钥。这样攻击者就可以在 SSL 连接中冒充大学,如果您已将其安装为受信任的根,攻击者还可以使用它冒充其他 SSL 站点。

相关内容