Home Sign Up Sign In
tyhunter
V2EX  ›  问与答

公司连接 802.11X 时自动下发证书,本地无 Client,这种情况下能被监控数据吗?

  •   
  •   tyhunter · Dec 19, 2019 · 1711 views
    This topic created in 2348 days ago, the information mentioned may be changed or developed.
    Macbook 到手后,本地确认无 Client 存在就被我抹盘全部重装了
    网络认证策略是 802.11X ,连接成功后会自动下发证书
    我从 keychain 里大概看了下,并且设置为仅保留 EAP 和 X.509 两项为信任
    Chrome 下小绿锁内证书项点开为所访问网站签发的证书
    请教下大佬们,这是不是不会被 MITM 中间人攻击监控 https 数据了
    https://tva1.sinaimg.cn/large/63d523eegy1ga1w2heflbj21140u8n2g.jpg
  • 证书
  • Client
  • 绿锁
  • mitm
    5 replies    2019-12-19 13:07:46 +08:00
    xfspace
        1
    xfspace  
       Dec 19, 2019 via Android   ❤️ 1
    root/sub CA 能签发证书 MITM 要种这种证书

    user/device certificate 不能在签证书
    jeblur
        2
    jeblur  
       Dec 19, 2019 via Android   ❤️ 1
    以我的理解,802.1x 是终端接入策略,规定了终端是否有权限接入能怎样接入。
    访问网站时,身份的识别是由 https 的证书在服务端私钥加密之后丢给终端公钥解密确认的,理论上中间人如果能截获私钥加密的数据包再用他的私钥加密丢给终端那他就可以冒充终端用户,但那也得先过 802.1x 认证接入后了
    chinvo
        3
    chinvo  
       Dec 19, 2019 via iPhone   ❤️ 1
    这是个 802.11x 的终端证书吧,是不能再签发子证书的
    tyhunter
        4
    tyhunter  
    OP
       Dec 19, 2019
    @xfspace
    @chinvo
    @jeblur 感谢解答,虽然有点迷惑,可不可以这么理解,802.11x 下发的是终端证书,只作为入网的认证,如果公司要进行数据的监控,需要签发 MITM 证书或者在本地安装 Client ?这样是不是目前我的 HTTPS 数据是安全的,不会被截获和解密?
    chinvo
        5
    chinvo  
       Dec 19, 2019 via iPhone
    @tyhunter #4 签发 mitm 证书的重点在于要给你安装一个自签发的根( ca )证书
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2871 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 466ea39e · 57ms · UTC 04:40 · PVG 12:40 · LAX 21:40 · JFK 00:40
    ♥ Do have faith in what you're doing.