这是一个创建于 1096 天前的主题,其中的信息可能已经有所发展或是发生改变。
用的是 iPhone ,最新版 iOS ,连公司 wifi 输完用户名和密码之后还要求信任公司某个证书(没有主动安装任何证书,就弹出来要求信任,不信任不能连)。
点了“信任”之后,在“设置-通用-证书信任设置”也没发现有任何证书出现。
想问:
- 如果 iOS 选择信任了这个证书,会有哪些安全风险吗?信任之后,我能在哪里管理(移除)这些已被信任的 wifi 证书?
- 另外发现安卓(红米)连同一个 wifi ,没有信任证书的提示出现,输完用户名、密码就连上了,这又是为什么?
第 1 条附言 2022-10-10 17:30:31 +08:00
类似这样的:
 | 1 buyan3303 2022-10-10 16:51:08 +08:00 是什么路由器 居然要证书。我所在的公司 无非是网管在路由器里 给我手机设置权限就可以输入 wifi 密码 登陆了 |
 | 2 totoro625 2022-10-10 16:51:59 +08:00 单纯 https 证书不可信,仅限于该网页的连接不安全 你没输入密码信任证书都没事 |
 | 4 cwcc 2022-10-10 16:53:25 +08:00  2 盲猜 802.1x ,PEAP GTC 的 WiFi 。 这种 WiFi 连接是需要信任证书的,一般没啥问题应该。只要不是信任根证书就行,信任了根证书就可以解密 HTTPS 了比较危险。 |
 | 5 yzc27 OP @totoro625 #2 “没输入密码信任证书都没事”,这里的“密码”是指什么密码?都是选择 wifi ,输完 wifi 的用户名和密码,就弹出要求信任公司某个证书,点“信任”就连上了,点“信任”之后完全没要求输任何密码。 |
 | 8 chioplkijhman 2022-10-10 16:58:08 +08:00 Radius+ad 做的验证吧? 其实连接公司网络,“风险”更多来自企业的上网行为管理。那里面会记录你的所有上网行为,包括不限于 url 访问记录、收发邮件内容。或者在防火墙做数据包拦截分析。 所以,流量够尽量不要连公用 Wi-Fi 。 |
| 9 yzc27 OP @arch9999 #7 点“信任”后没要求输任何密码,直接就连上了。那能在哪里可以查到手机之前是否有被信任过别的 root certificate 吗? |
 | 10 icyalala 2022-10-10 17:00:39 +08:00 4 那个证书只是针对 wifi 连接认证,与你手机的根证书没关系。 你的根证书,一个是在通用-关于本机-最下面的证书信任设置,另一块儿是在通用-VPN 与设备管理-配置描述文件。 这两个地方你看一下没有奇怪的东西就没事。 |
 | 11 Puteulanus 2022-10-10 17:00:59 +08:00 |
 | 12 arch9999 2022-10-10 17:01:59 +08:00 |
| 13 yzc27 OP |
| 14 totoro625 2022-10-10 17:04:02 +08:00 试试看是这样的证书吗,例如百度: https://36.152.44.95/ |
 | 15 chapiom 2022-10-10 17:05:45 +08:00 网页证书吧,这个就验证一下,不是设备证书就好。装了设备证书就不设防了,干了什么都知道 |
 | 16 superchijinpeng 2022-10-10 17:05:46 +08:00 EAP-PEAP ? |
| 19 yzc27 OP @arch9999 #18 那我看了”证书信任设置“和”VPN 与设备管理“同时都没别的东西,那应该在证书安全性上有保障了吧? |
| 21 icyalala 2022-10-10 17:28:48 +08:00 1 |
| 23 yzc27 OP @icyalala #21 确认一下,是不是就是像下图这样的 wifi 证书信任界面,对吗?  |
 | 25 Kiriya 2022-10-10 18:52:47 +08:00 不连除家中以外 WIFI 比较安全 |
 | 26 ericwood067 2022-10-10 18:55:24 +08:00 @yzc27 主要是你 wifi 的用户名和密码是在哪里输入的?看你的描述,应该是公司的 Wi-Fi 本身没有密码,连接 Wi-Fi 以后弹出网页让输入用户名和密码吧?在网页里输入密码以后提交的时候要求信任证书? 如果是这样的话,就是网站本身是 http 的,但是提交用户名和密码的时候使用了自签名的 tls 证书。 |
| 27 yzc27 OP @ericwood067 想歪了,跟网页无关,全程也没网页弹出来。就跟正常连 wifi 一样,输用户名和密码之后接着弹要求信任证书,全程没出现网页,可以看上面的截图。 你说的那种是类似那些公共 wifi 的弹网页,输手机号发验证码那类的吧? |
 | 28 crab 2022-10-10 20:26:44 +08:00 1.[设置]-[通用]-[描述文件] 2.[设置]-[通用]-[关于本机]-[证书信任设置] |
| 29 ericwood067 2022-10-10 22:09:39 +08:00 @yzc27 对,那是我想错了,以为是网页验证的。 |
 | 32 nuk 2022-10-11 01:44:09 +08:00 EAP-TTLS 吧,这个证书和 https 的证书差不多,就做个隧道用的 |
 | 33 dingwen07 2022-10-11 01:49:13 +08:00 via iPhone |
| 34 dingwen07 2022-10-11 01:49:32 +08:00 via iPhone *802.1x |
 | 35 taresky 2022-10-11 01:55:08 +08:00 不用公司 Wi-Fi 就完事了 |
 | 36 fbcskpebfr 2022-10-11 06:12:42 +08:00 1 802.1xEAP-PEAP ,现在高校里 eduroam 就是用的这个 不同系统行为不一样,苹果会给看整个证书,像 windows 可能就给你看一下证书的指纹;如果用 Linux 如 ubuntu 的话,还要手动选 PEAP 和认证方式呢,ubuntu 下 PEAP 二阶段的 MSCHAPv2 认证甚至可以选 no ca certificate is required |
 | 39 hefish 2022-10-11 09:34:47 +08:00 明显是 802.1x PEAP 认证啊。 只是连接 wifi 用的,跟 https 没关系。 |
 | 41 IslandOwnerHuang 2022-10-11 11:15:26 +08:00 @ruimz 国内好像没有几个用 eduroam 的高校吧? |
 | 42 phy25 2022-10-11 20:18:11 +08:00 via Android 1 |
 | 43 Knuth 2024-04-29 12:40:27 +08:00 via iPhone 发现根证书里信任了 quanx ,安全不 |
Select Language