用的是 iPhone ,最新版 iOS ,连公司 wifi 输完用户名和密码之后还要求信任公司某个证书(没有主动安装任何证书,就弹出来要求信任,不信任不能连)。
点了“信任”之后,在“设置-通用-证书信任设置”也没发现有任何证书出现。
想问:
- 如果 iOS 选择信任了这个证书,会有哪些安全风险吗?信任之后,我能在哪里管理(移除)这些已被信任的 wifi 证书?
- 另外发现安卓(红米)连同一个 wifi ,没有信任证书的提示出现,输完用户名、密码就连上了,这又是为什么?
This topic created in 1333 days ago, the information mentioned may be changed or developed.
Supplement 1 Oct 10, 2022
类似这样的:
 | 1 buyan3303 Oct 10, 2022 是什么路由器 居然要证书。我所在的公司 无非是网管在路由器里 给我手机设置权限就可以输入 wifi 密码 登陆了 |
 | 2 totoro625 Oct 10, 2022 单纯 https 证书不可信,仅限于该网页的连接不安全 你没输入密码信任证书都没事 |
 | 4 cwcc Oct 10, 2022  2 盲猜 802.1x ,PEAP GTC 的 WiFi 。 这种 WiFi 连接是需要信任证书的,一般没啥问题应该。只要不是信任根证书就行,信任了根证书就可以解密 HTTPS 了比较危险。 |
 | 5 yzc27 OP @totoro625 #2 “没输入密码信任证书都没事”,这里的“密码”是指什么密码?都是选择 wifi ,输完 wifi 的用户名和密码,就弹出要求信任公司某个证书,点“信任”就连上了,点“信任”之后完全没要求输任何密码。 |
 | 8 chioplkijhman Oct 10, 2022 Radius+ad 做的验证吧? 其实连接公司网络,“风险”更多来自企业的上网行为管理。那里面会记录你的所有上网行为,包括不限于 url 访问记录、收发邮件内容。或者在防火墙做数据包拦截分析。 所以,流量够尽量不要连公用 Wi-Fi 。 |
| 9 yzc27 OP @arch9999 #7 点“信任”后没要求输任何密码,直接就连上了。那能在哪里可以查到手机之前是否有被信任过别的 root certificate 吗? |
 | 10 icyalala Oct 10, 2022 4 那个证书只是针对 wifi 连接认证,与你手机的根证书没关系。 你的根证书,一个是在通用-关于本机-最下面的证书信任设置,另一块儿是在通用-VPN 与设备管理-配置描述文件。 这两个地方你看一下没有奇怪的东西就没事。 |
 | 11 Puteulanus Oct 10, 2022 |
 | 12 arch9999 Oct 10, 2022 |
| 13 yzc27 OP |
 | 14 totoro625 Oct 10, 2022 试试看是这样的证书吗,例如百度: https://36.152.44.95/ |
 | 15 chapiom Oct 10, 2022 网页证书吧,这个就验证一下,不是设备证书就好。装了设备证书就不设防了,干了什么都知道 |
 | 16 cutiechi Oct 10, 2022 EAP-PEAP ? |
| 21 icyalala Oct 10, 2022 1 |
| 23 yzc27 OP @icyalala #21 确认一下,是不是就是像下图这样的 wifi 证书信任界面,对吗?  |
 | 25 Kiriya Oct 10, 2022 不连除家中以外 WIFI 比较安全 |
 | 26 ericwood067 Oct 10, 2022 @yzc27 主要是你 wifi 的用户名和密码是在哪里输入的?看你的描述,应该是公司的 Wi-Fi 本身没有密码,连接 Wi-Fi 以后弹出网页让输入用户名和密码吧?在网页里输入密码以后提交的时候要求信任证书? 如果是这样的话,就是网站本身是 http 的,但是提交用户名和密码的时候使用了自签名的 tls 证书。 |
| 27 yzc27 OP @ericwood067 想歪了,跟网页无关,全程也没网页弹出来。就跟正常连 wifi 一样,输用户名和密码之后接着弹要求信任证书,全程没出现网页,可以看上面的截图。 你说的那种是类似那些公共 wifi 的弹网页,输手机号发验证码那类的吧? |
 | 28 crab Oct 10, 2022 1.[设置]-[通用]-[描述文件] 2.[设置]-[通用]-[关于本机]-[证书信任设置] |
| 29 ericwood067 Oct 10, 2022 @yzc27 对,那是我想错了,以为是网页验证的。 |
 | 32 nuk Oct 11, 2022 EAP-TTLS 吧,这个证书和 https 的证书差不多,就做个隧道用的 |
 | 33 dingwen07 Oct 11, 2022 via iPhone |
| 34 dingwen07 Oct 11, 2022 via iPhone *802.1x |
 | 35 taresky Oct 11, 2022 不用公司 Wi-Fi 就完事了 |
 | 36 fbcskpebfr Oct 11, 2022 1 802.1xEAP-PEAP ,现在高校里 eduroam 就是用的这个 不同系统行为不一样,苹果会给看整个证书,像 windows 可能就给你看一下证书的指纹;如果用 Linux 如 ubuntu 的话,还要手动选 PEAP 和认证方式呢,ubuntu 下 PEAP 二阶段的 MSCHAPv2 认证甚至可以选 no ca certificate is required |
 | 39 hefish Oct 11, 2022 明显是 802.1x PEAP 认证啊。 只是连接 wifi 用的,跟 https 没关系。 |
 | 41 IslandOwnerHuang Oct 11, 2022 @ruimz 国内好像没有几个用 eduroam 的高校吧? |
 | 42 phy25 Oct 11, 2022 via Android 1 |
 | 43 Knuth Apr 29, 2024 via iPhone 发现根证书里信任了 quanx ,安全不 |
Select Language