Frage:
Warum sollte eine Schule Zertifikate auf Schüler-Laptops installieren müssen?
gatorback
2019-01-09 19:43:48 UTC
view on stackexchange narkive permalink

Diese Frage weist darauf hin, dass Eltern Laptops für eine Schule kaufen müssen, um Software und Zertifikate zu installieren. Ich möchte die Gründe für die Installation von Site-Zertifikaten verstehen:

  • Warum sollten Site-Zertifikate installiert werden?
  • Was ist das Potenzial für Probleme mit der Praxis?
    • ol>

    Ich versuche, beide legitim (konstruktiv) zu verstehen. Gründe für Zertifikate und potenzieller Missbrauch. Aus dem Thread ist nicht ersichtlich, wie Schulen den Datenverkehr mit Zertifikaten irgendwie entschlüsseln könnten.

    Sehr stark verwandt, wenn es sich um Stammzertifikate handelt: [Mein College zwingt mich, das SSL-Zertifikat zu installieren.Wie schütze ich meine Privatsphäre?] (Https://security.stackexchange.com/q/104576/46674)
    Zertifikate sind in Ordnung, sind cool.sind nützlich, um zu gewähren, wer es benutzt, ist, wer sie zu sein behaupten.Ein zusätzlicher Bonus ist, dass das Zertifikat bei einer Unterbrechung der Beziehung von der Zertifizierungsstelle widerrufen werden kann.
    Ich würde vorschlagen, wenn Sie Zweifel an den Schulinformationen auf den Zertifikaten haben, um die Frage zu bearbeiten und hinzuzufügen, was genau unklar ist.
    Einige Staaten haben [Gesetze, nach denen Schulen Webinhalte filtern müssen] (http://www.ncsl.org/research/telecommunications-and-information-technology/state-internet-filtering-laws.aspx).Einige Schulen richten einen transparenten Proxy ein, anstatt sich darauf zu verlassen, dass jedes Gerät explizit seinen Proxyserver verwendet (was nach Ansicht einiger zur Einhaltung der Gesetze erforderlich ist, wenn Personen die Kontrolle über ihre eigenen Geräte haben).Die Installation ihrer Zertifikate würde das Gerät davon abhalten, sich über einen MITM-Angriff zu beschweren (was im Grunde genommen der Fall ist).
    Sieben antworten:
    Lie Ryan
    2019-01-09 20:59:03 UTC
    view on stackexchange narkive permalink

    Es gibt zwei verschiedene Arten von Zertifikaten, die Sie auf einem Computer installieren können:

    1. Der erste Zertifikatstyp ist die Stammzertifizierungsstelle. Ein Stammzertifikat enthält nur einen öffentlichen Schlüssel der Zertifizierungsstelle. Ein Stammzertifikat ist ein Vertrauensanker, der auf Ihrem Computer installiert ist, damit Ihr Computer "vertrauenswürdige" Sites identifizieren kann, zu denen eine Verbindung hergestellt werden soll. Eine Zertifizierungsstelle kann einen Anspruch in Form eines Serverzertifikats ausstellen, dass "X Eigentümer der Domäne Y ist". und weil Ihr Computer der Stammzertifizierungsstelle vertraut, vertraut er diesem Anspruch. Wenn die Schule / Firma ein Stammzertifikat auf Ihrem Computer installiert, vertraut Ihr Computer allen Verbindungen, die mit dem Server der Schule / Firma hergestellt wurden, und hält dies für legitim. Wenn Sie ein Stammzertifikat installieren, kann die Schule / Firma alle SSL / TLS-Verbindungen abfangen, die von Ihrem Computer über das Netzwerk ausgeführt werden, ohne Fehler / Warnungen des Browserzertifikats auszulösen.

    2. Der zweite Zertifikatstyp ist das Clientzertifikat. Ein Client-Zertifikat enthält einen privaten Schlüssel, der für Sie eindeutig ist, und ein Zertifikat, das von der Zertifizierungsstelle der Schule / des Unternehmens signiert wurde. Ein Client-Zertifikat wird für Ihren Computer verwendet, um sich bei der Infrastruktur der Schule zu authentifizieren und zu beweisen, dass Sie die Verbindung herstellen. Ein Client-Zertifikat wird als wesentlich bessere Lösung für Authentifizierungsdaten verwendet, als sich Kennwörter merken zu müssen. Ein Client-Zertifikat kann von der Schule / Firma nicht verwendet werden, um Verbindungen Ihres Computers zu Servern zu belauschen, die nicht der Schule / Firma gehören.

      3. ol>

      Ein Client-Zertifikat ist in Ordnung zu installieren und sollte keine Sicherheitsbedenken verursachen. Seien Sie im Gegensatz dazu sehr vorsichtig bei der Installation eines Stammzertifikats, da dies Anlass zur Sorge gibt, da das Stammzertifikat leicht missbraucht werden kann.

    Ich würde diese letzte Zeile etwas stärker formulieren: Ein Stammzertifikat, das unter der Kontrolle derselben Personen steht, denen das Netzwerk gehört, mit dem eine Verbindung zum Internet hergestellt wurde **, sollte als Spyware angesehen werden. ** Es sollte, wenn überhaupt, vermieden werdenmöglich, und wenn dies nicht möglich ist, sollte die Maschine als kompromittiert behandelt und so wenig wie möglich verwendet werden.Es gibt keinen legitimen Grund, von Ihnen zu verlangen, dass Sie einen auf Ihr persönliches Eigentum setzen.Wenn die Schule das will, können sie die Laptops selbst liefern.
    Es gibt halb legitime Gründe, eine Stammzertifizierungsstelle zu installieren.Beispielsweise kann es für sie nützlich sein, eine ungültige Domäne (.local) in ihrem privaten Netzwerk zu verwenden, sie möchten jedoch weiterhin die Verschlüsselung unterstützen.Selbst im größeren PKI-Kontext kommt es auf Vertrauen an.Eine gültige Zertifizierungsstelle ist nicht immer vertrauenswürdig, siehe DigiNotar.
    @JesseK Sie haben absolut Recht, aber ich würde einer öffentlichen Zertifizierungsstelle immer noch mehr vertrauen als einem typischen Schulsystem.Ein Schulsystem ist nicht als "kollektiver Organismus" vom "Tod" bedroht, wenn seine Zertifikate so gehackt werden, wie es eine öffentliche Zertifizierungsstelle ist. Ein Schulsystem hat die Fähigkeit, * einen starken Anreizgradienten * bis zum Erzwingen aufzuerlegenEs ist weitaus weniger wahrscheinlich, dass ein Schulsystem, das die Hauptschlüssel verliert, aufgrund institutioneller Faktoren weniger wahrscheinlich gemeldet oder behandelt wird, wenn eine öffentliche Zertifizierungsstelle keinen solchen Einfluss hat, wenn sie nicht über eine ausreichend große Marktsättigung verfügt.
    @mtraceur Oh, ich habe keinen Zweifel, dass das Schulsystem nicht im CA-Geschäft sein sollte, aber es gibt viele mittelmäßige Praktiken, denen Sie auf der Welt begegnen werden, und dies ist kaum das Schlimmste.
    Nicht alle vertrauenswürdigen Zertifikate müssen Stammzertifizierungsstellen sein.Windows, das für viele Authentifizierungszwecke in einer Domäne auf Zertifikate angewiesen ist, verfügt über das Konzept von "Enterprise Trust" -Zertifikaten, die auf bestimmte Authentifizierungsaufgaben beschränkt sind.Ein weiteres Beispiel sind WPA2-Enterprise / 802.1x-Zertifikate, mit denen Sie in fast allen Betriebssystemen ein Zertifikat bereitstellen können, das nur für die Netzwerkauthentifizierung vertrauenswürdig ist.
    @JesseK: In diesem Fall sollten sie den Namen einschränken.Siehe https://security.stackexchange.com/a/130674/25512
    Was ist die Alternative zur Installation?Das CA-Zertifikat wird wahrscheinlich zum Erstellen von Zertifikaten für interne Sites verwendet.Die Alternative scheint darin zu bestehen, die Websites zu verwenden, ohne zu überprüfen, ob es sich um die Schule handelt, mit der Sie sprechen.Das klingt auch sehr unsicher.Ich denke, @Joshua-Kommentar ist nützlich, Namensbeschränkungen scheinen mir besser zu sein, als ein Zertifikat zu installieren.
    @kutschkem: Wenn die von Ihnen verwendete App das Einschränken des Zertifikats unterstützt, können Sie dies tun.Andernfalls möchten Sie das Zertifikat möglicherweise in einem alternativen Browserprofil installieren und dieses alternative Profil nur für den Zugriff auf die Schulseiten verwenden.Firefox verwendet einen eigenen Zertifikatspeicher und ich glaube, er ist pro Profil.Ich glaube, Chrome und IE / Edge verwenden den Systemzertifikatsspeicher, der für alle Instanzen in diesem Profil freigegeben ist.Ich weiß nicht, ob es eine Möglichkeit gibt, das Zertifikat auf ein bestimmtes Chrome / IE / Edge-Profil zu beschränken.
    Möglicherweise können Sie Ihrem Beitrag eine dritte Art von Zertifikat hinzufügen: Wenn die Schule ein nicht vertrauenswürdiges Zertifikat für ihre Website, ihren E-Mail-Server oder ähnliches verwendet, installiert sie möglicherweise das Serverzertifikat auf den Clients, sodass es auch dann vertrauenswürdig ist, wenn keine vertrauenswürdige Zertifizierungsstelle vorhanden isthat es unterschrieben.Dies ist eine weitere legitime Verwendung ohne Missbrauchspotenzial, wenn es sich tatsächlich um ein Zertifikat für den eigenen Domainnamen handelt.
    Beachten Sie, dass es zwar sinnvoll ist, ein Stammzertifikat als Spyware zu betrachten, auf Computern jedoch manchmal "Spyware" erforderlich ist.Beispielsweise umfasst die Arbeit in sensiblen Netzwerken häufig die Überwachung aller Benutzeraktivitäten, einschließlich des verschlüsselten Webbrowsings.Auf Regierungs-Laptops sind häufig Root-Zertifikate installiert, damit die Firewalls den gesamten Datenverkehr überwachen und nach Malware suchen können, die über HTTPS ausgehende Verbindungen herstellt.Persönlich wäre es in Ordnung, wenn die Computeraktivitäten meines Kindes in der Schule auf die gleiche Weise überwacht würden, um sicherzustellen, dass sie nicht ausgebeutet oder gemobbt werden usw.
    @ToddWilcox Ja, aber wir sprechen nicht über Computeraktivitäten in der Schule.Wir sprechen von Laptops, die 1) nach Hause gebracht werden und 2) Eigentum des Schülers (oder wahrscheinlicher seiner Eltern) sind.Es gibt keinen legitimen Zweck für die Schule, Spyware auf einem solchen Computer zu installieren.
    @MasonWheeler Ich denke, der legitime Zweck besteht darin, zu überwachen, was in der Schule vor sich geht, und der daraus resultierende Mangel an Sicherheit zu Hause ist ein Nebeneffekt davon.Vielleicht ist es kein guter Weg, um diesen Zweck zu erreichen, aber es ist ein legitimer Zweck.
    //, @MasonWheeler, Könnten Sie überzeugt sein, diesen Kommentar als Antwort hinzuzufügen?Ich betrachte mich als einen ziemlich sicheren Jungen, aber ich habe das erst wirklich verstanden, als Sie darauf hingewiesen haben.
    @allo Das wäre dann nur Faulheit der Schule.Das Erhalten von echten, signierten SSL-Zertifikaten ist kostenlos, solange Sie über die Domain verfügen.Sie könnten argumentieren, wenn es nur intern ist, würde es die Kosten für die Wartung der Domain verursachen, aber das war's.
    Um diese Informationen richtig zu machen (ich lerne selbst), scheint es, dass die Verwendung eines solchen Stammzertifikats nur dann als "Spyware" betrachtet wird, wenn die Server der Schule durchlaufen werden?Wäre das also nur in ihrem Netzwerk?
    @Magisch Natürlich.Aber die Frage hier ist "warum" und nicht "wie können sie es besser machen".Und dies wäre ein vierter Grund mit einer Art Legitimation, selbst wenn sie es besser machen könnten.
    @allo, aber das OP fragt nach "Warum sollte eine Schule das brauchen" und Ihr Beispiel fällt unter "Sie müssen nicht, sie sind einfach zu faul, um die Sicherheit richtig zu machen".
    Natürlich müssen sie das nicht.Aber ich denke, die eigentliche Frage scheint zu sein: "Gibt es einen Grund, dies zu tun, obwohl man Verkehr und andere böse Dinge in Kauf nimmt?".Und Sie wissen nicht, ob es tatsächlich einen Grund für eine eigene Zertifizierungsstelle oder selbstsignierte Zertifikatsdomänen (z. B. ".local") gibt.Natürlich können Sie diskutieren, ob dies ein schlechter Weg ist, um das DNS in Ihrem Netzwerk zu verwalten (wahrscheinlich), aber dies ist eher eine Frage für Serverfehler als für security.stackexchange.
    @user3773048 Da das Zertifikat die Stammzertifizierungsstelle enthält.Dies bedeutet, dass Sie Zertifikate für andere Websites ausstellen können und diese vom Computer als vertrauenswürdig eingestuft werden können. Dies ist ohne das Wissen oder die Zustimmung des Websitebesitzers möglich.Dies bedeutet, dass der Netzbetreiber eingehenden HTTPS-Verkehr entschlüsseln, ihn mit seinen eigenen betrügerischen Zertifikaten erneut verschlüsseln und an den Client weiterleiten kann, der über ein Stammzertifikat verfügt, das besagt, dass an dieser Transaktion nichts falsch ist, wenn sie tatsächlich kompromittiert wird.
    AilibemdzpCMT Fertig.
    @MasonWheeler Ich mag und schätze Ihre vollständige Antwort auf diese Frage, aber ein Zertifikat allein ist keine Software.und kann daher keine Spyware sein, trotz der offensichtlichen Parallele, dass sie einem Angreifer ein gewisses Maß an Spionagefähigkeiten verleihen kann.Ich will nicht unglaublich pedantisch sein, aber es macht mich wütend, wenn die Medien die Sicherheitsterminologie falsch verwenden. Deshalb müssen wir sehr genau sagen, wie wir diese Begriffe verwenden.Ein Stammzertifikat "erleichtert das Spionieren", mit dem sich wohl niemand streiten kann.Hat deine Antwort positiv bewertet.
    Serge Ballesta
    2019-01-09 23:16:38 UTC
    view on stackexchange narkive permalink

    Nun, es gibt zumindest einen legitimen Anwendungsfall. Große Organisationen und Universitäten betreiben häufig eine private PKI. Dies bedeutet, dass sie über ein (gesichertes) Stammzertifikat verfügen, mit dem (mit herkömmlichen Unterbehörden) verschiedene Zertifikate signiert werden.

    Außerdem wird diese private PKI häufig zum Signieren von HTTPS-Servern verwendet, die nicht vorgesehen sind Die einzige Voraussetzung ist, dass alle (internen) Clients das private Stammzertifikat deklarieren.

    Das Risiko besteht in einem MITM-Angriff auf HTTPS-Verbindungen. Tatsächlich wird es häufig von Sicherheitsadministratoren als Feature dargestellt. Viele von ihnen würden niemals HTTPS-Verbindungen aus einer gesicherten Umgebung zulassen, wenn sie nicht gründlich überprüft werden könnten (*). Das bedeutet tatsächlich, dass beim HTTPS vom internen Netzwerk über den dedizierten Proxy alles protokolliert werden kann. Die einzige Regel ist, dass Benutzer darüber gewarnt werden sollen. Es ist etwas wirklich Privates, es sollte einfach nicht über das interne Netzwerk erfolgen.

    Es ist üblich, in großen Organisationen eine starke periphere Sicherheit durch Filtern von Proxys zu verwenden. Diese Proxys analysieren den Peer und die Art des Datenverkehrs , um verschiedene Angriffe und Infektionen zu verhindern. Da HTTPS jedoch verschlüsselt ist, kann der Proxy nur dann wissen, was tatsächlich ausgetauscht wird, wenn der MITM-Angriff aktiv ist.

    Es wäre großartig, wenn diese Art von internen Zertifizierungsstellen die Autorität nur für die innerhalb der Organisation verwendeten Domänen deklarieren würde, aber ich denke nicht, dass die meisten Systeme diese Art von eingeschränktem Vertrauen sowieso unterstützen.
    @JanHudec Ich denke, Sie können ein privates Platzhalterzertifikat für "* .mydomain.local" ausstellen und installieren, ohne ein Stammzertifikat installieren zu müssen.
    Theoretisch sollte [HPKP] (https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning) das MITM-Problem lindern, ist jedoch (aus gutem Grund) nicht weit verbreitet.
    @jjmontes, können Sie, aber in einer größeren Organisation möchten Sie wirklich ein separates Zertifikat für jeden Dienst haben, um den Schaden zu begrenzen, falls der eine gefährdet ist, und das bedeutet, dass Sie eine organisatorische Zertifizierungsstelle installieren.Diese Autorität sollte jedoch nur Autorität über Ihre Domain haben - sowohl um den Schaden im Falle einer Gefährdung erneut zu begrenzen, als auch um Vorwürfe des Missbrauchs zu verhindern.
    * .mydomain.local befindet sich unter reservierter TLD.Während es früher etwas üblich war, dürfen öffentliche Zertifizierungsstellen ab 2012 keine Zertifikate mehr für interne Domänen ausstellen.Dies bedeutet, dass für die Verwendung von TLS mit .local TLD immer die Installation von Stammzertifikaten erforderlich ist.
    hiburn8
    2019-01-09 20:50:29 UTC
    view on stackexchange narkive permalink

    Wenn der Browser des Schülersystems ein Schulzertifikat im vertrauenswürdigen Stamm der Zertifikatinstallation hat (je nach Browser muss dieses Zertifikat möglicherweise das Zertifikatspaket des Systems oder des Browsers sein), wird der Datenverkehr über einen abfangenden Proxy geleitet (z. B. über das WLAN der Schule), kann die Schule den Datenverkehr mit dem privaten Schlüssel entschlüsseln. Verbindungen zu den Websites sind daher nicht durchgängig sicher, aber der Proxy kann eine sichere Verbindung zur Website selbst wiederherstellen und die Daten zumindest während der Übertragung sicher aufbewahren. Diese Geräte werden auch als SSL-Entschlüsseler bezeichnet (obwohl es sich tatsächlich um TLS / SSL handelt), und fast jede Organisation, mit der ich zusammengearbeitet habe, verwendet diese in gewisser Weise (ich bin ein Penetrationstester, ich arbeite in vielen Banken) / p>

    Es gibt eine Reihe von Gründen, warum Sie dies tun möchten, aber die meisten Installationen beschränken sich auf Unternehmen, die Benutzer beschnüffeln möchten, um potenzielle Sicherheitsvorfälle (Malware auf dem Kabel) leichter zu erkennen oder nur eine missbräuchliche Verwendung zu erkennen .

    Ich war anderthalb Jahre lang ein Schulkind. Was ich an diesen Computern getan habe, war überhaupt keine Schularbeit, wenn die Schulen herausfinden können, wie das Problem angegangen werden kann, dass Kinder Systeme (auch ihre eigenen) für illegitime Zwecke verwenden Aufgaben, es ist eine gute Sache in meinem Buch. Ich bin ein großer Befürworter der Privatsphäre, aber die Schule verfügt nur dann über diese Entschlüsselungsbefugnisse, wenn Sie über ihren Proxy mit dem Internet verbunden sind. Wenn Sie also mit einem Netzwerk verbunden sind, dem Sie nicht vertrauen und das Sie nicht besitzen, spielen Sie auf einem System, das Sie nicht selbst bereitgestellt haben, nach den Regeln eines anderen (und stimmen diesen zu).

    "Die Schule verfügt nur dann über diese Entschlüsselungsfunktionen, wenn Sie über ihren Proxy mit dem Internet verbunden sind." Je nachdem, wie der Computer eingerichtet ist, muss dies nicht unbedingt zutreffen. Möglicherweise ist der Computer so eingerichtet, dass der Proxy der Schule weiterhin verwendet wirdauch außerhalb des Schulnetzwerks.Wenn die Schule ihren privaten Schlüssel für dieses Zertifikat verloren hat, ist Ihr Computer für das Abhören durch den Hacker anfällig, wenn er einen Proxy / Zugriffspunkt einrichtet, den Sie zufällig außerhalb des Schulnetzwerks verwenden.
    Guter Punkt zum systemweiten Proxying.Obwohl "Proxy auch außerhalb des Schulnetzwerks" einfach nicht möglich ist.Wenn Sie sagen, dass das System jederzeit eine Verbindung zu einem mit dem Internet verbundenen Proxy herstellen kann ... sicher ... aber dieser mit dem Internet verbundene Endpunkt ist meiner Meinung nach das Netzwerk der Schule, selbst wenn es auf AWS oder wo auch immer gehostet wird.Wenn Sie verhindern können, dass das System mit diesem Proxy kommuniziert, kann es physisch keinen Proxy erstellen.
    Angenommen, OP bezieht sich auf das Hinzufügen eines Stammzertifikats zum Truststore (was meiner Meinung nach der Fall ist), ist dies die beste Antwort.Ich denke nicht, dass dies eine * gute * Praxis ist, aber leider scheint es die Norm zu sein, zumindest für große Unternehmen.
    Wenn es sich um Ihr Gerät handelt, selbst wenn Sie das Schulnetzwerk verwenden, wird der allgemeine Datenverkehr für andere Dienste wie E-Mail, Chats und Software-Upgrades von der Schule kontrolliert (und möglicherweise von jemandem protokolliert oder gesehen), wodurch Benutzer gefährdet werden.Heutzutage haben Benutzer nicht wirklich die Kontrolle über die Hintergrundprozesse, die auf ihren Geräten ausgeführt werden. Daher ist es keine Option, sie zu bitten, diese Dienste nicht zu verwenden.Fazit: Eine Organisation, die nicht im CA-Geschäft tätig ist, sollte niemals Stammzertifikate benötigen, die beliebige Domänen auf den PCs der Benutzer signieren können, und Benutzer sollten diese niemals akzeptieren.
    jacob_pro
    2019-01-10 21:19:08 UTC
    view on stackexchange narkive permalink

    Es hängt davon ab, was Sie unter "Site-Zertifikat" verstehen, aber diese Antwort gilt für den Fall einer Stammzertifizierungsstelle:

    Die meisten Schulen - zumindest in Großbritannien - sind mir nicht bekannt In anderen Ländern wird eine Form der Webfilterung verwendet. Hierbei handelt es sich normalerweise um eine Firewall / einen Proxy, die bzw. der den Webverkehr abfängt und den Inhalt der Seite überprüft.

    HTTPs bieten jedoch eine End-to-End-Verschlüsselung zwischen dem Computer des Benutzers und der Website, wenn eine Verbindung zu a hergestellt wird Die HTTP-Website, die der Proxy nur sehen kann, ist die Ziel-IP-Adresse, aber keine Informationen zum Inhalt der Webseite.

    Es wäre nicht praktisch, einfach den gesamten HTTP-Verkehr zu blockieren, um ihn stattdessen beizubehalten Das Filtersystem erfordert, dass die Schule das End-to-End-Verschlüsselungsmodell durch Beenden der Verschlüsselung an der Firewall / dem Proxy aufhebt. Anschließend wird die Verbindung an den Benutzer weitergeleitet, es muss jedoch ein eigenes Zertifikat verwendet werden. Dieses Setup ermöglicht es ihnen, die gesamte Kommunikation zwischen dem Computer des Benutzers und der Website zu lesen. (Ein Man-in-the-Middle-Angriff)

    HTTP-Zertifikate werden verwendet, um zu verhindern, dass dies böswillig auftritt. Das vorgelegte Zertifikat wurde von der Firewall / dem Proxy der Schule signiert (und nicht von einer vertrauenswürdigen Zertifizierungsstelle, z. B. Verisign). Die Software des Laptops vertraut der Verbindung nicht (in Ihrem Browser wird eine Sicherheitswarnung / Fehlermeldung angezeigt). Wenn Sie jedoch das Schulzertifikat als vertrauenswürdige Stammbehörde installieren, wird die Verbindung stattdessen als vertrauenswürdig eingestuft und Ihr Browser funktioniert dann wie gewohnt.

    Dies hat zur Folge, dass jede HTTPS-Kommunikation von Ihrem Laptop abgefangen werden kann von der Schule gelesen (obwohl es im Browser als gesichert angezeigt wird).

    Im Allgemeinen jeder, der Zugriff auf das Schulzertifikat und den privaten Schlüssel hatte und auch physischen Zugriff hatte, um den Internetverkehr Ihres Laptops abzufangen. könnte Ihre SSL / TLS-Kommunikation lesen.

    Sehen Sie sich diesen Anbieter zum Beispiel an: https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

    Um dies zu vermeiden, installieren Sie ihre Zertifikate nicht und verwenden Sie stattdessen eine OpenVPN-Verbindung über einen Port, den sie nicht blockieren (versuchen Sie es mit 53, 80, 8080, 443 usw.)

    Tom
    2019-01-10 15:39:30 UTC
    view on stackexchange narkive permalink

    Es gibt zwei Gründe:

    Der harmlose Grund ist, dass die Schulen eine zertifikatbasierte Authentifizierung implementieren und über eine eigene PKI verfügen. Die Clients benötigen das PKI-Stammzertifikat, um die angezeigten Serverzertifikate zu überprüfen.

    Der böswillige Grund ist das Abfangen von SSL. Wenn ein Stammzertifikat installiert ist, können Browser zu einem Proxy umgeleitet werden, wo SSL abgefangen und der Inhalt überprüft wird, bevor er erneut verschlüsselt und an den tatsächlichen Server gesendet wird (oder umgekehrt).

    Leider Sie kann nicht eins ohne das andere bekommen. Ein Stammzertifikat ist ein Stammzertifikat. Ihre Gegenmaßnahme besteht darin, diesen Computer nicht für sensible Dinge wie Online-Banking oder Private Messaging zu verwenden.

    Sie können überprüfen, ob sie in Ihrem Webbrowser SSL abfangen, indem Sie die Zertifikatinformationen in Ihrem Browser über die von Ihnen besuchte Website überprüfen und überprüfen, wer das Zertifikat ausgestellt hat.Wenn Sie auf Facebook sind, überprüfen Sie die Zertifikatskette und stellen fest, dass das "Facebook" -Zertifikat von Ihrer Schulzertifizierungsstelle signiert ist. Sie werden beobachtet.Beachten Sie jedoch, dass dies nur für diese eine Verbindung spezifisch ist.Sie lauschen möglicherweise nur bestimmte TLS-Verbindungen, während andere normal weitergeleitet werden.
    @Philipp Sie können auch nie sicher sein, dass sie gestern nicht zugehört haben, als Sie überprüft haben, sondern heute zuhören.
    // Weitere Informationen zu den böswilligen (oder einfach arroganten) Ursachen, für die eine Organisation dies tun könnte, finden Sie unter https://security.stackexchange.com/a/201288/78278.
    Filipe dos Santos
    2019-01-09 20:17:40 UTC
    view on stackexchange narkive permalink

    Sie können eine Parallele zu einem Unternehmen herstellen. Warum muss ein Unternehmen Zertifikate auf Mitarbeiter-Laptops (oder persönlichen Geräten) installieren?

    Es geht um Authentifizierung . Ein Zertifikat kann als Berechtigungsnachweis für den Zugriff auf eine sichere Ressource (Schul- / Unternehmensportal) verwendet werden, ohne dass ein Kennwort angegeben werden muss. Wir alle kennen die Nachteile der Verwendung von Passwörtern. Daher wird jedem Schüler ein Zertifikat (oder ein anderer Berechtigungsnachweis) ausgestellt, mit dem er / sie beim Zugriff auf Schulwebanwendungen (meistens) identifiziert wird.

    In dem Unternehmen, für das ich arbeite Bevor wir unsere Authentifizierungsinfrastruktur auf SAML 2.0 umstellen konnten, wurde auf dem Gerät ein Unternehmenszertifikat installiert, wenn wir (aus Bequemlichkeitsgründen) mit unseren persönlichen Mobilgeräten auf unternehmensbezogene Webanwendungen zugreifen wollten.

    Ich stimme der obigen Antwort von Filipe voll und ganz zu.Die Verwendung von Zertifikaten ist die moderne Methode zur Überwindung der Kennwortnutzung auf mehreren Unternehmens- / Organisationsportalen.Dies hilft auch bei Kennwortlecks über Malware mit Keylogger-Dienstprogrammen.
    @CyberDude Wenn sich auf einem Laptop Malware befindet, die Schlüssel protokolliert, kann diese Malware auch leicht die Zertifikate stehlen;)
    @marcelm Diese Anweisung gilt für jeden Laptop / jedes Gerät, das über ein Zertifikat verfügt.Es ist kein Problem hinsichtlich der spezifischen Anforderung der Schule, Zertifikate zu verwenden.
    @marcelm Es gibt moderne Betriebssystemfunktionen, die dies verhindern.Beispielsweise verfügt Windows über TPM-basierte virtuelle Smartcards, die die Zertifikate ausschließlich im TPM ablegen, und iOS / macOS verfügt über ähnliche sichere elementbasierte Schlüssel.Windows Defender Credential Guard isoliert Domänengeheimnisse in einer separaten VM außerhalb des Betriebssystems.
    Diese Antwort ist etwas mehrdeutig, da sie nicht zwischen Client- und Server- und Stammzertifikaten unterscheidet.
    @jjmontes Es macht für eine Schule keinen Sinn, Root- oder Server-Zertifikate auf einem persönlichen Gerät zu installieren ...
    Mason Wheeler
    2019-01-11 22:18:15 UTC
    view on stackexchange narkive permalink

    (Veröffentlichen Sie dies als Antwort auf Anfrage und auch, da der ursprüngliche Kommentar anscheinend gut aufgenommen wurde und ich nicht möchte, dass er bei einer Kommentarbereinigung gelöscht wird.)

    Als Antwort Lie Ryan bemerkte, dass es zwei grundlegende Arten von Zertifikaten gibt, Stammzertifikate und Clientzertifikate, und dass Clientzertifikate in Ordnung sind, aber Sie sollten sich vor benutzerdefinierten Stammzertifikaten in Acht nehmen, da sie möglicherweise missbraucht werden können.

    Ich würde diese letzte Zeile etwas stärker formulieren: Ein Stammzertifikat, das unter der Kontrolle derselben Personen steht, denen das Netzwerk gehört, mit dem eine Verbindung zum Internet hergestellt wurde , sollte als Spyware angesehen werden. Es sollte Wenn möglich, und wenn dies nicht möglich ist, sollte die Maschine so kompromittiert wie möglich behandelt und so wenig wie möglich verwendet werden. Es gibt keinen legitimen Grund, von Ihnen zu verlangen, dass Sie einen auf Ihr persönliches Eigentum setzen. Wenn die Schule dies tun möchte, kann sie die Laptops selbst liefern.

    Ein anderer Kommentator fragte, in welchem ​​Zusammenhang Spionagepotential und Betreiber des Netzwerks stehen. Einige weitere Erläuterungen:

    Ein Stammzertifikat bedeutet, dass der Zertifikatsinhaber nicht nur bestätigt, dass seine Site legitim ist, sondern auch die Berechtigung hat, andere Zertifikate auszustellen. So funktionieren Zertifizierungsstellen und die gesamte Zertifikatinfrastruktur: Durch die Installation des Stammzertifikats geben Sie an, dass Sie dem Urteil der Zertifizierungsstelle vertrauen, und die Zertifizierungsstelle bestätigt dann, dass normale Sites legitim sind, was Sie akzeptieren, weil eine vertrauenswürdige Zertifizierungsstelle dies gesagt hat / p>

    Die Sache ist, dass es in diesem Prozess keine technischen Anforderungen gibt, die Eingaben des Eigentümers der Site beinhalten. Hier kommt der Vertrauensbereich ins Spiel. Wir akzeptieren im Glauben, dass sie die Site authentifiziert haben, bevor sie ein Zertifikat für sie ausgestellt haben, und in den wenigen Fällen, in denen eine Zertifizierungsstelle dabei erwischt wurde, war die Vergeltung aus dem Internet schnell und entscheidend und hat Konsequenzen für die einschließlich CA geht aus dem Geschäft, weil sie das Vertrauen der gesamten Welt verraten hat.

    Aber wenn Ihr Hauptgeschäft keine CA ist, ändert dies den Kalkül. Wenn Sie ein Netzwerk betreiben und auf den Computern Ihrer Clients eine unerwünschte Stammzertifizierungsstelle ausstellen können, können Sie einen Man-in-the-Middle-Angriff ausführen. Dies funktioniert folgendermaßen:

    • Der Client navigiert zu https://security.stackexchange.com
    • Das Netzwerk-MITM-System gibt vor, ein Client zu sein, und Entschlüsselt den Inhalt
    • Netzwerk MITM verschlüsselt den Inhalt mit seinem eigenen betrügerischen StackExchange-Zertifikat, das von der Stammzertifizierungsstelle des Netzwerks ausgestellt wurde.
    • Der Browser des Clients empfängt die Daten, überprüft die Verschlüsselung und stellt fest, dass dies der Fall ist Wenn Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Stammzertifizierungsstelle signiert wurde, wird angezeigt, dass an dieser Verbindung nichts falsch ist, und es wird dem Benutzer angezeigt.
    • Der Benutzer weiß nicht, dass das Netzwerk möglicherweise in der Lage ist, seine Verbindung zu lesen und zu ändern HTTPS-Verkehr

    Dies funktioniert nur im Netzwerk des Zertifikatsinhabers, da in anderen Netzwerken, in denen kein Stammzertifikat auf Ihrem Computer installiert ist, keine falschen Standortzertifikate bereitgestellt werden.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...