Моя школа хочет, чтобы я загрузил SSL-сертификат для подключения к WiFi. Могу ли я просто избегать выполнения каких-либо личных действий при подключении к WiFi?

Я учусь в средней школе и хочу использовать свой Macbook Air для написания длинных эссе. Школа не разрешает подключаться к WiFi, если мы не установим SSL-сертификат (файл с названием WebScreenCert). Я researched это и это кажется очень уязвимым для атакующих. Однако, поскольку я не живу в школе, мне не обязательно делать что-то слишком личное, пока я нахожусь в их WiFi. Нет причин, по которым я должен вводить свои банковские данные, например. Если я просто избегаю делать что-то слишком личное, пока я в школе, безопасно ли скачивать SSL-сертификат? Или он может дать злоумышленникам доступ к моей истории или сохранённым паролям и т. д.?

⚠️ Кратко: Вам, вероятно, не следует этого делать! Это установит то, что в сущности является бекдором в ваши зашифрованные коммуникации. (Перехват TLS) ☣️

Существует несколько возможностей:

1. Это сертификат CA, используемый для перехвата TLS (MITM).
2. Это (не CA) сертификат аутентификационного сервера, который используется только для связи с этим аутентификационным сервером во время установления соединения WiFi (при использовании WPA-EAP/WPA-Enterprise с любым из EAP-TLS, EAP-TTLS, PEAP, EAP-FAST, TEAP и т. д.).
3. Это сертификат CA, который используется для связи с аутентификационным сервером WPA-Enterprise.
4. Это сертификат CA, который используется для связи с аутентификационным сервером WPA-Enterprise и для MITM-инспекции.

Примечание: В случае (1) вы сможете подключиться к сети WiFi без установки сертификата, но все (или большинство) веб-сайтов будут заблокированы с ошибкой “недоверенный сертификат”. В случае (2) вы вообще не сможете подключиться к сети WiFi и, вероятно, не сможете даже настроить соединение с сетью WiFi.

Если мы находимся в случае (2), вы вероятно в безопасности, пока сертификат установлен как доверенный сертификат сервера, а не как сертификат CA. (Хотя, то, как это обрабатывается, вероятно, зависит от операционной системы, и у меня нет большого опыта с macOS). Случай (2) является законным вариантом использования, и пока сертификат не установлен как CA на уровне системы, а только для этого WiFi-соединения, у вас все должно быть в порядке.

Согласно имени файла (WebScreenCert), я предполагаю, что мы находимся в случае (1). В остальной части этого ответа я предполагаю, что мы находимся в случае (1).

Ваша школа хочет, чтобы вы установили сертификат ассоциированный с закрытым ключом, которым они управляют, чтобы провести перехват MITM, т.е. чтобы они могли:

• осматривать все ваши TLS-коммуникации, пока вы используете их сеть;
• фильтровать/блокировать некоторые коммуникации.

Эта техника широко применяется в многих организациях для:

• обнаружения вредоносных программ в сети, блокировки атак;
• блокировки злоупотребления сетью (например, досуг, просмотр сериалов, незаконный контент и т. д.);
• блокировки контента для взрослых.

Непосредственное следствие заключается в том, что администраторы школы сможет видеть все (заметьте: я немного упрощаю), что вы делаете в интернете, пока вы используете их сеть. Если вас это беспокоит, вам следует избегать делать что-либо, что вы бы не хотели, чтобы они видели, пока вы используете их сеть.

Даже если вы это сделаете, вы не будете в безопасности! (Злоумышленник), получивший доступ к закрытому ключу (например, злонамеренный сетевой администратор вашей школы или хакер, который бы взломал школу) может:

• осматривать ваши коммуникации (например, увидеть пароль, который вы отправляете на удаленный веб-сайт, увидеть сессионный куки на всех посещаемых веб-сайтах – что позволяет украсть ваши сессии, видеть ваши электронные письма и т. д.) (например, если вы подключаетесь к злонамеренной сети WiFi или к общей сети WPA-личной);
• изменять данные, которые вы получаете из интернета (или отправляете в интернет);
• возможно, пытаться использовать это, чтобы установить на ваш компьютер вредоносные программы (изменяя программы, которые вы скачиваете, например, при обновлении программ, если только все ваши загрузки/обновления программного обеспечения не подписаны).

Если что-либо из этого беспокоит вас (а должно!), вы можете использовать отдельный браузерный профиль (обычно с помощью Firefox) и настроить сертификат только в этом браузерном профиле:

• Пока вы находитесь в сети вашей школы, вы должны использовать этот браузерный профиль и избегать делать что-либо подозрительное.
  • Вам не следует входить на любой веб-сайт, используя этот браузерный профиль (если вы не беспокоитесь о краже вашей учетной записи и пароля).
  • Вам не следует загружать любые программы, используя этот браузерный профиль.
• Но вы не сможете использовать многие другие сетевые программы, пока вы используете сеть школы.
• Пока вы не находитесь в сети вашей школы, вы должны использовать свой основной браузер/браузерный профиль.

Примечание: Я предлагаю использовать Firefox, потому что он использует отдельный список доверенных CA-сертификатов для каждого профиля. Насколько мне известно, все остальные основные браузеры используют единый список доверенных CA-сертификатов для пользователя/на уровне системы.

(TODO, я полагаю, что Firefox использует какую-то цифровую подпись при загрузке обновлений, так что школьный сертификат не может быть использован для установки вредоносной версии Firefox с помощью механизма обновления.)

Другим решением было бы:

• установить выделенную виртуальную машину;
• установить сертификат на уровне системы только там и использовать эту виртуальную машину, когда вы используете сеть вашей школы;
• не делать ничего, что бы вы не хотели, чтобы кто-то видел, на этой виртуальной машине;
• не входить на любой веб-сайт/учетную запись, которая вам важна, используя эту виртуальную машину.

Добро пожаловать на SE! Я не компетентен, чтобы объяснить все риски здесь, но одним из решений может быть установка их сертификата только в одном браузере, например, Firefox. Если вы уже используете Firefox, вы можете создать полностью отдельный профиль и установить его там. Это позволит вам сохранить свои под наблюдением школьные просмотры полностью в песочнице и вдали от вашего обычного браузера, интернет-банкинга и т. д.

Инструкции здесь:

1. В меню Firefox выберите Настройки.
2. Нажмите на Конфиденциальность и безопасность.
3. Прокрутите вниз до раздела Безопасность и нажмите Просмотреть сертификаты.
4. На вкладке Ваши сертификаты выберите Импортировать.
5. Выберите P12 файл для импорта и введите пароль, использованный при запросе файла.
6. На вкладке Ваши сертификаты Mozilla Firefox убедитесь, что сертификат был импортирован правильно.
7. Нажмите ОК и перезапустите браузер.

Одно, что вы никогда не упоминаете в своём вопросе/ответе на комментарии, это:

Откуда этот SSL-сертификат.

Существуют 2 возможности, которые я вижу.

1. Вы получили его от IT-отдела вашей школы.

Если это так, вероятно, его безопасно использовать (если вы доверяете своей школе), хотя это немного странно, что они бы так поступили.

2. Сеть “школы” сказала вам, что вам нужно скачать этот SSL-сертификат для “безопасности”.

Это звучит очень похоже на то, что мог бы сделать я. Поставить роутер в месте, где много людей собирается и сделать его достаточно сильным, чтобы переиграть WiFi школы с моим WiFi с тем же именем. Я мог бы даже подключить его к интернету школы.

Затем предоставить поддельный SSL-сертификат и сказать студентам, что им нужно его скачать, чтобы я мог подделать Google. Доступ к Gmail позволяет мне сбрасывать пароли банков/многие люди используют Gmail для 2FA. Это глупо, и почему я не сильно доверяю 2FA. С другой стороны, это школа, так что возможно, что кто-то пытается украсть пароли/имена пользователей профессоров.

Всё в целом это неплохой план. Эта атака чрезвычайно проста в осуществлении, если ваша школа не проверяет её.

Правка: Осознал, что не дал никаких практических советов о том, что делать. Я предполагаю, что это WiFi сказал вам скачать SSL-сертификат. В этом случае, как предложил Nosajimiki в комментарии, сообщите об этом в IT-отдел вашей школы. Кто-то крадет пароли/имена пользователей.

Если вы установите этот вредоносный сертификат, весь сетевой доступ с вашего устройства будет под контролем, даже когда вы подключены к не-школьной сети WiFi. Вам не следует этого делать, если у вас абсолютно нет другого выбора, и в этом случае вам нужно быть осведомленным о том, что вы больше не можете делать ничего личного с этого устройства под контролем.

Если вам нужно получить доступ к школьному WiFi, самое простое, что вы можете сделать, это настроить свой браузер так, чтобы вы могли отдельно подтверждать предупреждения о поддельных сертификатах для всего, к чему вам нужно получить доступ, но никогда не заходите на сайты (такие как социальные сети, ваша учетная запись Google и т. д.), доступ к которым вы не хотите, чтобы школа украла ваши учетные данные.

Лучшие варианты – использовать раздачу интернета на телефоне (его даже можно включить в тихом режиме и спрятать в рюкзаке, если вам не разрешается вынимать его в течение дня) или получить надежную VPN и туннелировать через неё по школьному WiFi.

Многие ответы здесь объясняют, что перехват MITM – это зло, потому что сетевой администратор может видеть любое SSL зашифрованное обмен (фактически HTTPS) в открытом виде. Это правда, но мы должны помнить, что в некоторых странах (включая страны Западной Европы), если корпоративная сеть используется для преступных операций (доступ к педофильскому порно, торговля оружием или наркотиками и т. д.) и если сетевой администратор не принял никаких специальных мер, чтобы этого избежать, он может столкнуться с юридическими последствиями.

Это означает, что если школа открывает бесплатный WiFi без какого-либо контроля, и если он используется для преступных операций, директор школы может оказаться в затруднительном положении.

Общее правило для таких перехватов MITM заключается в том, что они создают журналы, которые ни один администратор не может просмотреть, если только у них нет доказательств нетипичного использования или если они не получают юридический запрос. То, что я имею в виду, это то, что если вы не намерены использовать школьную сеть для незаконных действий, вам не следует слишком переживать по этому поводу: администраторы имеют достаточно задач, чтобы не тратить время на то, чтобы смотреть, что вы сделали… при условии, что это настоящие об использовании.

Поскольку вы осведомлены об этом, наилучшее, что можно сделать, на мой взгляд, это ограничить использование WiFi в школе только для просмотра безопасных сайтов – и, конечно, никогда не отправлять действительно личные данные, такие как учетные данные.

Отчасти не по теме, но еще одним способом, которым школы/работодатели могут попытаться следить за вами, является требование установки программного обеспечения MDM на вашем устройстве, такого как InTune или Jamf. Эти программы в сущности являются бекдорами, даже более мощными, чем SSL сертификаты. В то время как это приемлемо (я полагаю) на выданных организацией устройствах, вам никогда не следует устанавливать такое программное обеспечение на вашем личном устройстве.

WebScreen – это высоко гибкая система веб-фильтрации, предназначенная и созданная для образовательного сектора Великобритании, выполняющая требование статутной охраны Министерства образования “Сохранение детей в безопасности в образовании”, чтобы предлагать “соответствующую фильтрацию”. Её руководство пользователя доступно онлайн по адресу https://webscreen.lgfl.org.uk/UserManual/index.html

Эта система способна расшифровывать ваш ‘https’ трафик для целей мониторинга и фильтрации.

Рекомендуется использовать сертификат только в Firefox, а не на уровне системы.