行业新闻与博客
重新定义:如何信任 iOS 10.3 中的手动安装的根证书
Apple 调整了配置文件的信任设置,这是如何信任 iOS 10.3 中手动安装的根证书的方法。
Apple 已对信任通过配置文件手动安装的根证书的方式进行了更改,这需要其他显式操作。
安装自定义配置文件的 iOS 10.3(及更高版本)上的用户将需要进入设置菜单,才能手动打开对所有包含的根证书的信任。因为安装配置文件非常容易,所以这是一项重要的安全措施,它使用户无意中信任新的根目录变得有些困难,后者随后可能为任何网站或服务颁发设备信任的证书。
仍然会自动信任与 Apple Configurator 或移动设备管理(用于企业部署的专用工具)一起安装的根。
配置文件的安全风险
配置文件是配置文件,可轻松将自定义设置部署到 iPhone 或 iPad。这些配置文件可以包含访问网络或配置电子邮件帐户所需的信息。
公司和大学使用配置文件轻松部署将新设备接入其网络所需的设置。面向消费者的服务(例如 Xfinity Wi-Fi 和 Manhattan 的 LinkNYC)使用配置文件允许用户访问其公共 Wi-Fi。
但是许多用户可能没有意识到配置文件有多强大。许多配置文件(例如 Comcast 的 Xfinity Wi-Fi 使用的配置文件)都包含可用于建立安全连接的根证书。
信任恶意根是那些核级“游戏结束”方案之一。实际上,Chromium(Google 的 Chrome 浏览器所基于的开源项目)承认,如果攻击者可以在您的设备上安装根目录,那么浏览器将无能为力。
在 Windows 和 OS X 上,这是合理的。例如,在 Windows 上信任根需要花费很多步骤,包括下载根,在计算机上打开文件,然后执行导入向导。
在 iOS 上,情况则不同。在 Safari 中,只需单击网页上的按钮即可提示系统对话框,以安装自定义“配置文件”,其中可以包含供设备信任的根证书。尽管这仍然需要明确的用户操作,但 iOS 的简单性使用户更容易天真地遵循此过程,认为这是正常或适当的事情。
这可能被恶意使用。用户安装配置文件后,新证书可用于中间人攻击。这一直是一个已知的漏洞,但并不是主要关注的问题,因为尽管可行,但在大多数攻击情形中这是不切实际的。
尽管这不是一个严重的安全风险,但还是很高兴看到 Apple 在允许根证书疯狂运行之前又增加了一层“您确定”检查。
下载: 证书管理清单 Essential 14 Point Free PDF。
您如何信任 iOS 中手动安装的根证书?
如果您的用户使用的是 iOS 10.3,则他们需要按照以下步骤来信任配置文件中包含的证书
- 确保他们已在设备上安装了配置文件。
- 打开 设置。
- 导航到常规,然后关于。
- 选择证书信任设置。
- 通过配置文件安装的每个根都将在“为根证书启用完全信任”标题下列出。用户可以为每个根启用 / 禁用信任。
如果要处理大量组织控制的设备,则可能要考虑使用 Apple Configurator 或“移动设备管理”。这两个工具都面向企业,并且将自动信任任何包含的证书。
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服