<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 8 May 2016 at 08:47, John Winters via GLLUG <span dir="ltr"><<a href="mailto:gllug@mailman.lug.org.uk" target="_blank">gllug@mailman.lug.org.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Not specifically a Linux question, but I know a lot of knowledgeable<br>
people lurk here so I hope it will be forgiven.<br>
<br>
A (physical) site which I visit regularly provides a BYOD WiFi network<br>
to which people can connect their own devices.  You need an individual<br>
WPA2 login in order to connect to it.<br>
<br>
Just recently they've announced that they're introducing filtering of<br>
https connections, and thus you will also need to install a certificate<br>
provided by them if you are going to use it to access any https web sites.<br>
<br>
Now the only way I can see this working is if they are proposing to<br>
generate spoof certificates, signed by them, for any such sites which<br>
you access, install their web filter as a man-in-the-middle, and thus<br>
have clear-text access to all your supposedly encrypted communication.<br>
<br>
Am I reading this correctly, or is there some less malign thing which<br>
they could be doing?  Should I just stop using their WiFi and rely on my<br>
own 4G connection?<br><br></blockquote><div><br></div><div>You'll likely find that some sites will become inaccessible in recent versions of Firefox and Google (and probably other browsers), due to public key pinning.<br><br><a href="https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning">https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning</a><br><a href="https://security.googleblog.com/2011/08/update-on-attempted-man-in-middle.html">https://security.googleblog.com/2011/08/update-on-attempted-man-in-middle.html</a><br></div><div><br></div><div>Dave<br></div><div><br></div></div></div></div>