为什么学校需要在学生笔记本电脑上安装证书？

#1 楼

您可以在计算机上安装两种不同类型的证书：


第一类证书是根证书颁发机构。根证书仅包含证书颁发机构的公钥。根证书是安装在您的计算机中的信任锚，以便您的计算机可以识别要连接的“受信任”站点，证书颁发机构可以以服务器证书的形式发出声明，即“ X是域Y的所有者”并且由于您的计算机信任根证书颁发机构，因此它将信任该声明。如果学校/公司在您的计算机上安装了根证书，则您的计算机将相信与学校/公司的服务器建立的任何连接都认为是合法的。如果安装了根证书，则学校/公司将能够拦截计算机通过其网络运行的任何SSL / TLS连接，而不会触发浏览器证书错误/警告。
第二种证书是客户端证书。 。客户证书包含您唯一的私钥和由学校/公司的证书颁发机构签名的证书。客户端证书用于您的计算机对学校的基础结构进行身份验证，证明正在连接的是您。与必须记住密码相比，客户端证书本质上是一种更好的身份验证凭据解决方案。学校/公司不能使用客户端证书来窃听您的计算机与学校/公司不拥有的服务器之间的连接。

客户端证书可以安装，不应安装。不会引起任何安全隐患。相比之下，请谨慎安装根证书，因为根证书很容易被滥用，因此令人担忧。

#2 楼

好吧，至少有一个合法的用例。大型组织和大学通常会运行私有PKI。这意味着它们具有一个（安全的）根证书，用于签署（与附属的子授权机构）各种证书。

并且使用该私有PKI签名的HTTPS服务器也很常见。打算由公开使用：唯一的要求是（内部）客户端都声明私有根证书。

风险是对HTTPS连接的MITM攻击。实际上，安全管理员经常将其作为功能来呈现。如果无法对其进行深入检查（*），它们中的许多都将永远不允许来自安全环境的HTTPS连接。这实际上意味着，当您通过专用代理从内部网络进行HTTPS时，所有内容都可以记录下来。唯一的规则是应警告用户。它确实是私有的，不应仅从内部网络完成。


通过过滤代理在大型组织上使用强大的外围安全性是很常见的。这些代理分析对等方和流量类型，以防止各种攻击和感染。但是，由于HTTPS已加密，因此除非MITM攻击处于活动状态，否则代理无法知道实际交换的内容。

#3 楼

如果学生系统的浏览器在证书安装的受信任根目录中具有学校证书（取决于浏览器，则此证书可能需要是系统的证书捆绑包或浏览器的证书），则流量是否通过拦截代理（例如通过学校的wifi），学校可以使用私钥解密流量。因此，与网站的连接不是端到端安全的，但是代理可以重新建立与网站本身的安全连接，并至少确保数据在传输中的安全。这些设备也称为SSL解密器（尽管实际上是TLS / SSL），与我合作的几乎每个组织都以某种能力使用它们（我是渗透测试人员，我在许多银行工作）。 br />
有很多原因使您想要这样做，但是大多数安装归结为希望窥探用户以更容易地发现潜在安全事件（网络上的恶意软件）或只是检测不当行为的公司。用法。

我曾经是一个小学生，如果学校可以解决如何使用系统（甚至是他们自己的系统）解决孩子的问题，我在那些计算机上所做的一半根本就不是学校的工作。非法任务，对我来说是件好事。
我是隐私保护的拥护者，但是当您通过其代理连接到Internet时，学校只有这些解密功能。因此，如果您连接到您不信任也不拥有的网络，那么在您未配置自己的系统上，您就是在（并同意）别人的规则。

#4 楼

这取决于您所说的“站点证书”的意思，但这答案是针对根证书颁发机构的情况：

大多数学校-至少在英国-我对其他国家一无所知，请使用某种形式的网络过滤。通常，这需要防火墙/代理来拦截Web流量并检查页面的内容。

但是，HTTPs在用户计算机和网站之间提供端到端加密，因此在连接到一个HTTPs网站，所有代理都可以看到的是目标IP地址，但没有有关网页内容的信息。

简单地阻止所有HTTPs流量是不切实际的，因此为了维护过滤系统，学校需要通过在防火墙/代理处终止加密来打破端到端加密模型。然后，它将连接传递给用户，但必须使用自己的证书。通过此设置，他们可以读取用户计算机与网站之间的所有通信。 （中间人攻击）

HTTPs证书用于防止这种情况的发生-因为提供的证书是由学校的防火墙/代理（而不是受信任的证书颁发机构，例如Verisign）签名的），笔记本电脑的软件将不信任该连接（您会在浏览器中看到安全警告/错误消息）。但是，通过将学校的证书安装为受信任的根证书颁发机构，该连接将被信任，然后您的浏览器将正常运行。

其结果是，可以拦截来自笔记本电脑的任何HTTPS通信并由学校读取（即使它在浏览器中显示为受保护的）。

更一般地说，任何具有访问学校证书和私钥，并且也具有物理访问权限来拦截笔记本电脑互联网的人流量，就能读取您的SSL / TLS通信。

例如，请看以下供应商：https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

为避免这种情况，请不要安装他们的证书，而是通过它们没有阻塞的端口使用OpenVPN连接（尝试53、80、8080、443等）

#5 楼

原因有两个：

无害的原因是学校正在实施基于证书的身份验证并拥有自己的PKI。客户端需要PKI根证书来验证所提供的服务器证书。

恶意原因是SSL拦截。安装了根证书后，浏览器可以重定向到代理，在该代理中，SSL被拦截并检查了内容，然后将其重新加密并发送到实际服务器（反之亦然）。

不幸的是，你不能没有一个。根证书是根证书。您的对策是不要使用此计算机处理敏感内容，例如网上银行或私人消息。

#6 楼

您可以与公司进行平行交易。公司为什么需要在员工笔记本电脑（或个人设备）上安装证书？

涉及身份验证。证书可以用作访问安全资源（学校/公司门户）的凭据，而无需提供密码。我们都知道使用密码的弊端，因此会向每位学生颁发证书（或其他凭证），以便在访问学校Web应用程序时（大多数情况下）可以识别他/她。

在我工作的公司中因为，在将身份验证基础结构迁移到SAML 2.0之前，如果我们想（为方便起见）使用我们的个人移动设备访问与企业相关的Web应用程序，则会在该设备中安装公司证书。

#7 楼

（根据要求将其发布为答案，并且由于原始评论似乎已广受欢迎，并且我不希望在评论清除中将其删除。）

回应Lie Ryan指出，证书有两种基本类型，即根证书和客户端证书，并且客户端证书很好，但是您应该对自定义根证书保持警惕，因为它们有可能被滥用，我补充说：

我要说的是，最后一行要强一些：受拥有用于连接到Internet的网络的同一个人控制的根证书应被视为间谍软件。应尽可能避免，如果不可能，则应将机器视为已损坏并尽可能少地使用。没有正当理由要求您将一个财产放到您自己的个人财产中。如果学校想这样做，他们可以自己提供笔记本电脑。

另一位评论者问，间谍潜力与成为网络运营商之间有什么联系。因此，需要进一步说明：根证书的意思是证书所有者不仅证明其站点合法，而且还有权颁发其他证书。这就是证书颁发机构和整个证书基础结构的工作方式：通过安装根证书，您表示您信任CA的判断，然后CA证明普通站点是合法的，您可以接受，因为受信任的CA这样表示。

问题是，在此过程中，没有任何技术要求涉及站点所有者的输入。那就是信任部分出现的地方。我们坚信他们在颁发证书之前已经对站点进行了身份验证，并且几次被发现CA未能做到这一点时，Internet的举报便是迅速而果断的，造成的后果包括CA因背叛了整个世界的信任而倒闭。

但是，如果您的主要业务不是CA，那将改变整个计算过程。如果您运行网络并且可以在客户端计算机上发布恶意根CA，则可以执行中间人攻击。它的工作方式如下：


客户端导航到https://security.stackexchange.com

网络MITM系统假装为客户端并解密内容
Network MITM使用其自己的欺诈性StackExchange证书对内容进行重新加密，该证书由网络的根CA颁发。
客户端的浏览器接收数据，检查加密，发现它使用的是受信任的根CA签名的证书，说“此连接没有问题”，并显示给用户
用户不知道网络可能具有读取和修改其HTTPS流量的能力

这只会可以在证书所有者的网络上工作，因为您的计算机上未安装根证书的其他网络将不会提供伪造站点证书。