您可以在計算機上安裝兩種不同類型的證書：

1. 第一種證書是根證書頒發機構。根證書僅包含證書頒發機構的公共密鑰。根證書是安裝在您的計算機中的信任錨，以便您的計算機可以識別要連接的“受信任”站點，證書頒發機構可以以服務器證書的形式發出聲明，聲明“ X是域Y的所有者”並且由於您的計算機信任根證書頒發機構，因此它將信任該聲明。如果學校/公司在您的計算機上安裝了根證書，則您的計算機將認為與學校/公司的服務器建立的任何連接都是合法的。如果您安裝了根證書，則學校/公司將能夠攔截計算機通過其網絡運行的任何SSL / TLS連接，而不會觸發瀏覽器證書錯誤/警告。

2. 第二種證書類型是客戶端證書。客戶證書包含您唯一的私鑰和由學校/公司的證書頒發機構簽名的證書。客戶端證書用於您的計算機對學校的基礎結構進行身份驗證，證明正在連接的是您。與必須記住密碼相比，客戶端證書本質上是一種更好的身份驗證憑據解決方案。學校/公司不能使用客戶端證書來竊聽您的計算機與學校/公司不擁有的服務器建立的連接。

ol>

客戶端證書可以安裝，不會引起任何安全問題。相比之下，請謹慎安裝根證書，因為根證書很容易被濫用，因此令人擔憂。

至少有一個合法的用例。大型組織和大學通常會運行私有PKI。這意味著它們具有一個（安全的）根證書，用於簽署（與附屬的子授權機構）各種證書。

並且通常也使用該私有PKI來簽署不想要的HTTPS服務器到公開使用：唯一的要求是（內部）客戶端都聲明私有根證書。

風險是對HTTPS連接的MITM攻擊。實際上，它通常由安全管理員作為功能來呈現。如果無法對其進行深入檢查（*），它們中的許多都將永遠不允許來自安全環境的HTTPS連接。這實際上意味著，當您通過專用代理從內部網絡進行HTTPS時，所有內容都可以記錄下來。唯一的規則是應警告用戶。它確實是私有的，不應僅通過內部網絡來完成。這些代理分析了對等體和流量的類型，以防止各種攻擊和感染。但是，由於HTTPS已加密，因此除非MITM攻擊處於活動狀態，否則代理無法知道實際交換了什麼。

如果學生系統的瀏覽器在證書安裝的受信任根目錄中具有學校證書（取決於該瀏覽器，則該證書可能需要是系統的證書捆綁包或瀏覽器的證書），那麼如果流量通過攔截代理進行（例如通過學校的wifi上網），學校可以使用私鑰解密流量。因此，與網站的連接不是端到端安全的，但是代理可以重新建立與網站本身的安全連接，並至少確保數據在傳輸中的安全。這些設備也稱為SSL解密器（儘管實際上是TLS / SSL），與我合作的幾乎每個組織都以某種能力使用它們（我是滲透測試人員，我在許多銀行工作）。 / p>

之所以這樣做，有多種原因，但是大多數安裝歸結為希望窺探用戶以更容易地發現潛在安全事件（網絡上的惡意軟件）或只是檢測不當使用情況的公司。 。

我曾經是一個小學生，如果學校能夠解決如何使用非法系統（甚至是他們自己的系統）來解決孩子的問題，我在那些計算機上所做的一半根本不是學校的工作任務，對我的書來說是一件好事。我是一位非常注重隱私的擁護者，但是當您通過其代理連接到Internet時，學校只有這些解密功能。因此，如果您連接到一個您不信任也不擁有的網絡，那麼在您未配置自己的系統上，您就是在（並同意）別人的規則。

這取決於您所說的“站點證書”的意思，但這是針對根證書頒發機構的情況：

大多數學校-至少在英國-我不知道其他國家/地區，則使用某種形式的網絡過濾。通常，這需要防火牆/代理來攔截網絡流量並檢查頁面的內容。

但是，HTTPs在用戶計算機和網站之間提供端到端加密，因此在連接到HTTPs網站上所有代理都可以看到的是目標IP地址，但是沒有有關網頁內容的信息。

簡單地阻止所有HTTPs流量，而是維護它是不切實際的。過濾系統要求學校通過在防火牆/代理處終止加密來打破端到端加密模型。然後，它將連接傳遞給用戶，但必須使用自己的證書。通過此設置，他們可以讀取用戶計算機與網站之間的所有通信。 （中間人攻擊）

HTTPs證書用於防止這種情況的發生-因為提供的證書是由學校的防火牆/代理（而不是受信任的證書頒發機構，例如Verisign）簽名的筆記本電腦的軟件將不信任該連接（您會在瀏覽器中看到安全警告/錯誤消息）。但是，通過將學校的證書安裝為受信任的根證書頒發機構，該連接將被信任，然後您的瀏覽器將正常運行。

其結果是，可以攔截來自筆記本電腦的任何HTTPS通信，並且由學校讀取（即使它在瀏覽器中顯示為受保護）。

通常，任何有權訪問學校的證書和私鑰，並且也具有實際訪問權限來攔截筆記本電腦的互聯網流量的人，就能讀取您的SSL / TLS通信。

例如，以該供應商為例： https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

為避免這種情況，請不要安裝其證書，而應在其未阻塞的端口上使用OpenVPN連接（嘗試53、80、8080、443等）

有兩個原因：

無害的原因是學校正在實施基於證書的身份驗證並擁有自己的PKI。客戶端需要PKI根證書來驗證所提供的服務器證書。

惡意原因是SSL攔截。安裝了根證書後，瀏覽器可以重定向到代理，在該代理中，SSL被攔截並檢查了內容，然後將其重新加密並發送到實際服務器（反之亦然）。

不幸的是，您一個人不能沒有一個人。根證書是根證書。您的對策是不要使用此計算機處理敏感內容，例如網上銀行或私人消息。

您可以與公司進行平行交易。公司為什麼需要在員工筆記本電腦（或個人設備）上安裝證書？

涉及身份驗證。證書可以用作訪問安全資源（學校/公司門戶）的憑據，而無需提供密碼。我們都知道使用密碼的弊端，因此會向每位學生頒發證書（或其他證書），以便在訪問學校Web應用程序時（大多數情況下）識別出他/她。

在我工作的公司中，在將身份驗證基礎結構遷移到SAML 2.0之前，如果我們想（為方便起見）使用我們的個人移動設備訪問與企業相關的Web應用程序，則會在該設備中安裝公司證書。

（通過請求將其發佈為答案，並且由於原始評論似乎已廣受歡迎，並且我不希望在評論清除中將其刪除。）

在回應中Lie Ryan指出，證書有兩種基本類型，即根證書和客戶端證書，並且客戶端證書很好，但是您應該對自定義根證書保持警惕，因為它們有可能被濫用，我補充說：

我要說的是，最後一行要強一些：受擁有用於連接到Internet的網絡的同一個人控制的根證書，應該視為間諜軟件。盡可能避免，如果不可能，則應盡量避免損壞機器，並儘可能少地使用機器。沒有正當理由要求您將一個財產放到您自己的個人財產中。如果學校想這樣做，他們可以自己提供筆記本電腦。

另一位評論者問，間諜潛力與成為網絡運營商之間有什麼聯繫。因此，有一些進一步的說明：

根證書的含義是，證書所有者不僅證明其站點合法，而且還有權頒發其他證書。這就是證書頒發機構和整個證書基礎結構的工作方式：通過安裝根證書，您表示您信任CA的判斷，然後CA證明普通站點是合法的，您可以接受，因為受信任的CA這樣表示。

問題是，該過程中的任何地方都沒有技術要求，涉及站點所有者的輸入。那就是信任部分出現的地方。我們堅信他們在頒發證書之前已經對站點進行了身份驗證，並且幾次被發現CA未能做到這一點時，Internet的舉報便是迅速而果斷的，造成的後果包括CA因背叛了整個世界的信任而倒閉。

但是，如果您的主要業務不是CA，那將改變計算的難度。如果您運行網絡並且可以在客戶端計算機上發布惡意根CA，則可以執行中間人攻擊。它的工作方式如下：

• 客戶端導航到 https://security.stackexchange.com
• 網絡MITM系統假裝為客戶端，並且解密內容
• Network MITM使用其自己的欺詐性StackExchange證書重新加密內容，該證書由網絡的根CA頒發。
• 客戶端的瀏覽器接收到數據，檢查加密，看是否是使用由受信任的根CA簽名的證書，說“此連接沒有問題”，並將其顯示給用戶
• 用戶不知道網絡可能具有讀取和修改他或她的能力HTTPS流量

這僅在證書所有者的網絡上有效，因為在您的計算機上未安裝根證書的其他網絡將不會提供虛假站點證書。