¿Cuál es el impacto en la seguridad de instalar un perfil de configuración macOS que contiene certificados?

El archivo eduroam-OS_X-UdS.mobileconfig contiene cinco certificados. Tres de ellos se pueden recuperar ingresando openssl pkcs7 -inform DER -print_certs -in ~/Downloads/eduroam-OS_X-UdS.mobileconfig .

Al menos dos de los tres pertenecen a la cadena de confianza para validar la firma del código del archivo mobileconfig.

Puedes verificar esto haciendo clic en verificada

Losotrosdos("TERENA SSL CA 3" y "DigiCert Assured ID Root CA") son la cadena de confianza para validar la identidad del servidor RADIUS de su universidad. Al abrir eduroam-OS_X-UdS.mobileconfig con un editor decente, puede verlos y extraerlos. Al guardar cada uno de ellos como un archivo * .cer, puede compararlos y validarlos usted mismo abriéndolos con Keychain Access.app: elija uno de los dos certificados y haga clic con el botón derecho en él > evaluar cert > Genérico.

SielcertificadoTERENAnoseevalúacorrectamente,nodetectacorrectamenteelcertificadoraízdeDigicert.SimplementepresioneelbotónVolveratrásyrepitaelpaso.

"DigiCert Assured ID Root CA" es un duplicado de un certificado que ya existe en su llavero Raíces del sistema y "TERENA SSL CA 3" es una autoridad de certificación intermedia. Ambos son necesarios para asegurar la identidad del servidor Radius. Sin embargo, si es posible, debe elegir "Validar el certificado del servidor (RADIUS)". No sé (y no he podido encontrar) el nombre DNS del servidor RADIUS de su universidad.

Ninguno de los certificados reduce la seguridad del sistema. Si todo está configurado correctamente (especialmente en el lado del servidor), un MITM no debería ser posible: Consideraciones de seguridad .

Si algo no está configurado correctamente y usted es víctima de un MITM, su l'identifiant ENT y le mot de passe ENT se "perderán".

Si su sitio tiene un proxy con 'ssl-inspect' (también conocido como mitm), si navega a enlace este proxy sería el 'Emisor del certificado de servidor que ve, y sería el cliente si lo solicita a bank.com. Debería poder ver esto fácilmente cuando hace clic en el botón para el certificado en el navegador, busque el campo Emisor, pero valide la huella digital (compárela con la que instaló). Si usa Firefox, recibirá una advertencia porque tiene su propia tienda para certificados raíz de CA. Ironport es una marca de dispositivos proxy que puede hacer esto, a veces verá este nombre en las raíces de CA. En Windows Internet Explorer, estos pueden ser empujados por la política.

Creo que su pregunta es MUY BUENA Y también tiene un alcance muy amplio de lo que se puede efectuar. Entonces, primero qué componentes pueden estar en un profie:

Y de acuerdo con APPLE: Un perfil de configuración contiene una serie de ajustes que puede especificar, entre ellos:

Restricciones en las características del dispositivo Configuración de wifi Ajustes de VPN Configuración del servidor de correo electrónico Configuración de intercambio Configuración del servicio de directorio LDAP Configuración del servicio de calendario CalDAV Clips web Credenciales y claves

Digo que tu pregunta es de gran alcance porque esos más y más pueden modificarse y estoy seguro de que hay muchos elementos para configurar

AQUÍ ESTÁ TODO LO QUE APPLE TIENE QUE DECIR: transferencia / a >

Mi opinión es que primero debes descifrar el perfil y ver lo que se ha establecido ...