Comment Android gère-t-il les AC racine wifi ? Doivent-ils être un problème de sécurité ?

Une autorité de certification signe des certificats numériques. Souvent, les entreprises paient une autorité de certification de confiance internationale, telle que VeriSign ou DigiCert, pour signer les certificats de leur propre domaine.

Dans certains cas, il peut être plus judicieux d'agir en tant que votre propre AC, plutôt que de payer une AC comme DigiCert. C'est exactement ce que fait votre université, c'est-à-dire qu'elle utilise sa propre autorité de certification.

La première chose à comprendre est que l'AC racine que vous avez installée n'est pas une clé privée, mais une clé publique. Jetez un coup d'œil à vos certificats sur le navigateur que vous utilisez et regardez l'onglet des autorités, vous verrez tout un tas de Root CA comme VeriSign.

Disons que votre université a une page web informative university.edu. Sans installer l'autorité de certification racine sur votre appareil, si vous allez sur la page Web, vous verrez une erreur vous avertissant que le site n'est pas fiable. Après l'installation de l'autorité de certification racine, le site s'affichera comme sécurisé puisqu'il vérifie qu'il est valide en utilisant la clé publique de votre appareil. Le serveur web unversity.edu aura une clé privée qui correspondra à la clé publique que vous avez. Ainsi, lorsque vous accédez à la page Web, il vérifie qu'il s'agit d'un site valide.

En substance, le fait d'avoir l'autorité de certification racine n'est pas un problème. La seule clé qui pourrait potentiellement causer des problèmes majeurs en cas de compromission est la clé privée de l'autorité de certification racine. En général, les AC sont configurées avec une AC racine et une AC intermédiaire. La clé racine est conservée hors ligne afin qu'elle ne puisse pas être compromise. De cette façon, si la clé privée utilisée pour signer les demandes de certificat sur l'AC intermédiaire est compromise, une nouvelle clé privée sera générée en utilisant la clé privée de l'AC racine. Cela nécessite de réémettre des clés à tous les serveurs qui sont vérifiés, mais protège l'environnement.

J'espère que cela vous aidera.

Pour une compréhension plus détaillée du fonctionnement d'une autorité de certification, consultez cette documentation sur la configuration d'une autorité de certification.

https://jamielinux.com/docs/openssl-certificate-authority/introduction.html

Je trouve l'autre réponse ici très trompeuse.

L'installation d'une autorité de certification racine est un risque énorme. Cela signifie que presque tout le trafic de votre réseau peut être intercepté (ce qui peut entraîner des problèmes plus importants).

Mais, Je ne suis pas sûr que ce soit le cas. Je pense que vous n'avez pas installé une AC racine de confiance, mais juste une AC "Authentification du serveur" pour que votre client (votre téléphone) puisse vérifier le serveur RADIUS qui est utilisé pour authentifier vos informations d'identification au Wi-Fi WPA2-Enterprise.

Cette situation est assez courante dans les universités.

Cela signifie que votre université ne peut pas signer de certificat pour un domaine autre que le serveur spécifié.

Bien que ce ne soit pas certain. Si vous pouviez mettre à jour votre question avec quelques captures d'écran de la demande que vous avez reçue - je peux dire avec certitude.