用的是 iPhone ,最新版 iOS ,连公司 wifi 输完用户名和密码之后还要求信任公司某个证书(没有主动安装任何证书,就弹出来要求信任,不信任不能连)。
点了“信任”之后,在“设置-通用-证书信任设置”也没发现有任何证书出现。
想问:
类似这样的:
1
buyan3303 2022-10-10 16:51:08 +08:00
是什么路由器 居然要证书。我所在的公司 无非是网管在路由器里 给我手机设置权限就可以输入 wifi 密码 登陆了
|
2
totoro625 2022-10-10 16:51:59 +08:00
单纯 https 证书不可信,仅限于该网页的连接不安全
你没输入密码信任证书都没事 |
4
cwcc 2022-10-10 16:53:25 +08:00 2
盲猜 802.1x ,PEAP GTC 的 WiFi 。
这种 WiFi 连接是需要信任证书的,一般没啥问题应该。只要不是信任根证书就行,信任了根证书就可以解密 HTTPS 了比较危险。 |
5
yzc27 OP @totoro625 #2 “没输入密码信任证书都没事”,这里的“密码”是指什么密码?都是选择 wifi ,输完 wifi 的用户名和密码,就弹出要求信任公司某个证书,点“信任”就连上了,点“信任”之后完全没要求输任何密码。
|
8
chioplkijhman 2022-10-10 16:58:08 +08:00
Radius+ad 做的验证吧?
其实连接公司网络,“风险”更多来自企业的上网行为管理。那里面会记录你的所有上网行为,包括不限于 url 访问记录、收发邮件内容。或者在防火墙做数据包拦截分析。 所以,流量够尽量不要连公用 Wi-Fi 。 |
9
yzc27 OP @arch9999 #7 点“信任”后没要求输任何密码,直接就连上了。那能在哪里可以查到手机之前是否有被信任过别的 root certificate 吗?
|
10
icyalala 2022-10-10 17:00:39 +08:00 4
那个证书只是针对 wifi 连接认证,与你手机的根证书没关系。
你的根证书,一个是在通用-关于本机-最下面的证书信任设置,另一块儿是在通用-VPN 与设备管理-配置描述文件。 这两个地方你看一下没有奇怪的东西就没事。 |
11
Puteulanus 2022-10-10 17:00:59 +08:00
|
12
arch9999 2022-10-10 17:01:59 +08:00
|
13
yzc27 OP |
14
totoro625 2022-10-10 17:04:02 +08:00
试试看是这样的证书吗,例如百度: https://36.152.44.95/
|
15
chapiom 2022-10-10 17:05:45 +08:00
网页证书吧,这个就验证一下,不是设备证书就好。装了设备证书就不设防了,干了什么都知道
|
16
superchijinpeng 2022-10-10 17:05:46 +08:00
EAP-PEAP ?
|
19
yzc27 OP @arch9999 #18
那我看了”证书信任设置“和”VPN 与设备管理“同时都没别的东西,那应该在证书安全性上有保障了吧? |
21
icyalala 2022-10-10 17:28:48 +08:00
|
23
yzc27 OP @icyalala #21
确认一下,是不是就是像下图这样的 wifi 证书信任界面,对吗? ![]( https://www.bu.edu/tech/files/2019/10/iPhoneWiFi_4-636x522.png) |
25
Kiriya 2022-10-10 18:52:47 +08:00
不连除家中以外 WIFI 比较安全
|
26
ericwood067 2022-10-10 18:55:24 +08:00
@yzc27 主要是你 wifi 的用户名和密码是在哪里输入的?看你的描述,应该是公司的 Wi-Fi 本身没有密码,连接 Wi-Fi 以后弹出网页让输入用户名和密码吧?在网页里输入密码以后提交的时候要求信任证书?
如果是这样的话,就是网站本身是 http 的,但是提交用户名和密码的时候使用了自签名的 tls 证书。 |
27
yzc27 OP @ericwood067 想歪了,跟网页无关,全程也没网页弹出来。就跟正常连 wifi 一样,输用户名和密码之后接着弹要求信任证书,全程没出现网页,可以看上面的截图。
你说的那种是类似那些公共 wifi 的弹网页,输手机号发验证码那类的吧? |
28
crab 2022-10-10 20:26:44 +08:00
1.[设置]-[通用]-[描述文件]
2.[设置]-[通用]-[关于本机]-[证书信任设置] |
29
ericwood067 2022-10-10 22:09:39 +08:00
@yzc27 对,那是我想错了,以为是网页验证的。
|
32
nuk 2022-10-11 01:44:09 +08:00
EAP-TTLS 吧,这个证书和 https 的证书差不多,就做个隧道用的
|
33
dingwen07 2022-10-11 01:49:13 +08:00 via iPhone
802.11x 最好要装,避免伪造路由器
HTTPS 仍然是私密的,只要不开启这里对应证书开关 https://vip2.loli.io/2022/10/11/uEs9XUS4aV1rlKd.png  |
34
dingwen07 2022-10-11 01:49:32 +08:00 via iPhone
*802.1x
|
35
taresky 2022-10-11 01:55:08 +08:00
不用公司 Wi-Fi 就完事了
|
36
ruimz 2022-10-11 06:12:42 +08:00 1
802.1xEAP-PEAP ,现在高校里 eduroam 就是用的这个
不同系统行为不一样,苹果会给看整个证书,像 windows 可能就给你看一下证书的指纹;如果用 Linux 如 ubuntu 的话,还要手动选 PEAP 和认证方式呢,ubuntu 下 PEAP 二阶段的 MSCHAPv2 认证甚至可以选 no ca certificate is required |
39
hefish 2022-10-11 09:34:47 +08:00
明显是 802.1x PEAP 认证啊。 只是连接 wifi 用的,跟 https 没关系。
|
41
IslandOwnerHuang 2022-10-11 11:15:26 +08:00
@ruimz 国内好像没有几个用 eduroam 的高校吧?
|
42
phy25 2022-10-11 20:18:11 +08:00 via Android 1
|
43
Knuth 243 天前 via iPhone
发现根证书里信任了 quanx ,安全不
|