在学校或工作场所安装自定义根证书如何导致对其进行监视？

解答动态

• 

  我在读一篇文章，文章说如果你安装了来自第三方的自定义根证书，那么他们就可以解密你和其他人之间的所有通信。
  我不知道你在读什么（引用会有帮助）。但您是对的，仅仅安装一个自定义根CA证书作为受信任的证书是不够的-学校/工作单位还必须是流量中间的活跃人员，并使用此CA证书进行SSL。
  因此，可以在计算机上安装恶意软件或监视internet流量。
  不仅安装恶意软件在电脑上可以监控交通。实际上，像防软件或家长控制软件这样的受信任程序这样做是很常见的。
  当直接进入公司（或学校）网络时，通常通过公司防火墙和代理进入互联网。即使使用VPN或其他访问软件从远程连接，流量也会通过公司控制的防火墙/代理进行路由和检查，可以直接在公司内部，但更多的情况下也会在云中的某个地方进行。
  
• 

  如果您使用https从亚马逊购买物品，亚马逊会向您发送一份证书，证明它就是他们，这是因为除了Amazon，没有人能从根证书受您设备信任的公司获得“Amazon”证书。
  但是如果您让我在您创建的设备上安装根证书，那么我可以创建一个由根证书签名的“Amazon”证书，由于您的计算机安装了我的根证书，它将信任此证书。通过一点黑客攻击，我可以将所有针对Amazon的请求重定向到我的站点，并且由于您设备上的根证书，您的计算机将信任它。如果没有根证书，您的计算机将拒绝接触假冒的Amazon站点。
  当然，这适用于任何网站。根证书使您的计算机信任我将您重定向到的任何站点。
  
• 

  ，除非同一组织也安装了充当所有internet流量代理的软件。它需要对所有流量进行主动、解密和重新加密。
  为什么您认为他们希望您安装其根证书？如果是出于合法目的（保护他们自己的财产），他们可以从可信的第三方CA获得证书。如果他们想成为根用户，能够签署任何东西，那是因为他们想在合法CA的规则之外操作-也就是说，他们想模仿互联网上的其他网站来监控你的流量。这样做的软件是现成的各种企业和组织。简言之，要求您安装其根证书的人至少在某些时候，而且可能在您连接到其网络的任何时候都在向您发出通知。
  
• 

  真正的答案取决于谁拥有与证书对应的私钥，以及您对他们的信任程度？：
  “Normal”受信任的CA没有他们正在验证的私钥（他们自己的CA密钥除外），因此拥有或安装普通证书的人不能这样做伤害，还有CA非常小心地为其私钥保密。
  “正常”私钥是在受信任的环境中创建的，并且受到保护，因此，只有所有者（quot；）拥有私钥。
  quot；策略确保CA只认证他们信任的主体（即身份已被检查），并且客户端（服务器也是）将检查提供的证书是否与主体相匹配。
  因此处于危险中，对手必须出示你的客户信托。在turn这意味着证书的主题必须匹配，并且证书必须由受信任的在这里是你的CA进入的地方播放：所有者CA的成员可以证明任何事。如果你相信那个CA，您信任该CA颁发的任何证书。
  即使没有伪造的CA，被盗的“普通服务器证书”私钥也会给您带来麻烦（中间人攻击）。
  令人惊讶的是，我的手机抱怨“您的网络可能会被监视”，因为CA证书是”；德国电信根CA 2“我猜大多数预先安装的证书都不太可信，但你明白了……
  
• End