È sicuro aggiungere un certificato non attendibile alle Autorità di certificazione delle autorità di certificazione affidabili?

Prima di accedere a Internet al lavoro devo accedere al loro sistema. La pagina di accesso è ipass.swu.ac.th . Sfortunatamente il certificato di sicurezza che usano appare come non affidabile (in Chrome). Devo fare clic su 'Proceed Anyway' ogni volta che voglio accedere alla loro pagina di accesso.

Posso vedere da questa risposta che posso esportare il loro certificato e quindi aggiungerlo come autorità di certificazione radice affidabile in Windows.

La mia domanda è questa. In realtà non mi fido della rete. Lavoro in un'università in Tailandia e molti computer sulla rete sono carichi di virus. Non mi fido nemmeno del centro informatico responsabile dell'IT qui. Quindi voglio solo fidarmi del loro certificato per accedere alla loro pagina di accesso, ipass.swu.ac.th, e non di più. Se aggiungo il loro certificato come autorità radice affidabile, non so fino a che punto si estende questa fiducia.

Per dare un esempio concreto, quando apro iTunes, se non ho precedentemente effettuato l'accesso a ipass.swu.ac.th, si lamenta che non può raggiungere in modo sicuro i server di Apple. Va bene - voglio mantenere questo avvertimento. Voglio condividere solo il nome utente e la password della mia università con ipass.swu.ac.th. Non voglio condividere altre credenziali con loro, e sono preoccupato che se mi fido dell'autorità, quelle applicazioni come iTunes possono condividere informazioni private con il centro di computer universitario.

Un certificato di radice attendibile è uno che è considerato affidabile per emettere certificati per altri domini. Se si aggiunge il certificato dell'università come root attendibile, diventa possibile per l'università impersonare altri siti Web protetti da SSL per intercettare e intercettare le connessioni a tali siti. (Questo è noto come a attacco man-in-the-middle .)

Questo è qualcosa che l'università dovrebbe fare apposta - non otterrà "accidentalmente" informazioni dalle tue applicazioni solo perché hai installato il certificato - ma non è inaudito. Alcuni dipartimenti IT aziendali installano un certificato principale aziendale su tutti i loro computer appositamente per questo motivo.

Se la sicurezza della rete dell'università è scarsa, è anche possibile che un aggressore esterno possa intrufolarsi e rubare la chiave privata al certificato dell'università. Ciò consentirebbe all'utente malintenzionato di impersonare l'università nelle connessioni SSL e, se è stato installato come root attendibile, l'utente malintenzionato potrebbe utilizzarlo per impersonare anche altri siti SSL.