Який вплив на безпеку встановлює профіль конфігурації macOS, що містить сертифікати?

Я хочу встановити профіль конфігурації для автоматичного підключення до моєї університетської мережі, але поряд з двома конфігураціями мережі Wi-Fi також є два сертифікати , їх опис - "AC du fournisseur d'identité" (англійською мовою: CA постачальника посвідчень особи), це сертифікати "TERENA SSL CA 3" та "DigiCert Assured ID Root CA", обидва випущені "DigiCert Assured ID Root CA".

Який точний вплив цього на безпеку моєї системи?

Чи підписує він лише профіль або встановлює нові надійні випромінювачі сертифікатів для веб-сайтів, з якими я можу порадитись, наприклад? (що збільшило б ризик людини в результаті нападу)

Дякую

Файл eduroam-OS_X-UdS.mobileconfig містить п'ять сертифікатів. Три з них можна отримати, ввівши openssl pkcs7 -inform DER -print_certs -in ~/Downloads/eduroam-OS_X-UdS.mobileconfig.

Щонайменше два з трьох належать до ланцюга довіри для перевірки підпису коду файлу mobileconfig.

Ви можете перевірити це, натиснувши на підтверджене

Інші два ("TERENA SSL CA 3" та "DigiCert Assured ID Root CA") є ланцюжком довіри для підтвердження ідентичності RADIUS-сервера вашого університету. Відкривши eduroam-OS_X-UdS.mobileconfig з гідним редактором, ви можете їх побачити та витягнути. Збереживши кожен із них як файл * .cer, ви можете порівняти та перевірити їх самостійно, відкривши їх за допомогою Keychain Access.app: виберіть один із двох сертів та клацніть правою кнопкою миші на ньому> оцінити cert> Generic.

Якщо сертифікат TERENA не оцінено успішно, він не отримує кореневий сертифікат Digicert належним чином. Просто натисніть кнопку Go Backі повторіть крок.

"DigiCert Assured ID Root CA" - це дублікат сертифіката, який вже існує у вашому брелоку System Roots, а "TERENA SSL CA 3" є проміжним органом сертифікації. Обидва необхідні для забезпечення ідентичності сервера Radius. Якщо можливо, вам слід вибрати "Валідацію сертифіката сервера (RADIUS)". Я не знаю (і не змогли знайти) DNS-ім'я RADIUS-сервера вашого університету.

Жоден із сертифікатів не знижує безпеку системи. Якщо все налаштовано належним чином (особливо на стороні сервера), MITM не повинен бути можливим: міркування безпеки .

Якщо щось налаштовано неправильно, і ви є жертвою MITM, ваш lDidentifiant ЛОР та le mot de pass ENT буде "втрачено".

Якщо у вашому місці є проксі-сервер із функцією 'ssl-inspection' (він же mitm), то якщо ви переходите до https://bank.com, цей проксі-сервер буде "Емітентом" серверного сертифіката, який ви бачите, і це буде клієнт якщо ви запитаєте bank.com. Ви повинні мати змогу легко це побачити, натискаючи на кнопку для церти в браузері, шукати поле "Емітент", але перевірити відбиток пальця (порівняйте з встановленим). Якщо ви користуєтеся Firefox, ви отримаєте попередження, оскільки в ньому є власний магазин кореневих сертифікатів CA. Ironport - бренд проксі-пристроїв, який може це зробити, іноді ви побачите це ім’я в коренях CA. У Windows Internet Explorer це може бути порушено політикою.

Я думаю, що ваше запитання є ДУЖЕ ДОБРИМ, а також дуже широким діапазоном того, що може бути досягнуто. Отже, спочатку які компоненти можуть бути у профілі:

Відповідно до APPLE: профіль конфігурації містить ряд налаштувань, які можна вказати, зокрема:

Обмеження щодо функцій пристрою Налаштування Wi-Fi Налаштування VPN Налаштування сервера електронної пошти Налаштування обміну Налаштування служби служби каталогів LDAP Налаштування служби календаря CalDAV Веб-кліпи Повноважні дані та клавіші

Я кажу, що ваше запитання має широку сферу застосування, тому що ці додаткові додатки можуть бути змінені, і я впевнений, що багато елементів можна налаштувати

ТУТ ВСЕ ЯКОГО ПРИКЛАДУ ЙОГО ВІДПОВІСТЬ: https://developer.apple.com/library/prerelease/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html#//apple_ref/doc/uid/TP40010206-CH1-SW4

Я вважаю, що вам потрібно спершу розшифрувати профіль і подивитися, що було встановлено ....