现在 wifi 安全问题这么严重，为什么不引入公私钥体系呢?

哈哈，如果可行，我把这种机制起名为 WiFi certification 1.0 协议

额，敢问这个有用？你家里搭个 wifi 也要申请一个证书？

确实有道理, 虽然不像 @cxe2v 说的 家家都需要一个证书, 但是在机场火车站咖啡厅, 看到一个在信任列表里面的 wifi 还是有意义的

@cxe2v 私人部署什么，我说的是公共场所

商业用户使用带证书的 wlans:// 协议，使用证书加密连接，普通用户用的 wlan:// 协议，哎呀呀，草案可以写起来了

再升级一下， SSID 分为显示名和隐藏名，显示名还可以是 cmcc ，但隐藏明是域名，用于验证

WPA Enterprise

这不就是 802.1x 上网认证？

@est
@aveline 好吧，看来我少见多怪了

@est
@aveline
@est 不过我觉得手机确实可以对认证过的，做一个醒目的标识

@aveline
@est 现在只有在登录阶段才认证

wpa2 enterprise 就可以了

CMCC 可以 EAP-SIM 认证，我 WP 在火车站连过

这就是嗤之以鼻的 WAPI

@tony1016 802.1X 能用证书连接， https://en.m.wikipedia.org/wiki/IEEE_802.1X

@mfaner
@est
@aveline 想一下还是有不同， enterprise 是在登录阶段做，而我的想法是在 SSID 广播阶段就做

@tony1016
广播带随机数+私钥签名的 SSID?

我记得 WAPI 有个梗是说，它的 AP/能验证路由器 /Radius 云云

路由器上能设置吧

@honeycomb 是的，广播带有随机数＋私钥签名的 SSID

@Khlieb 如果是新的协议，必然要各方支持

@tony1016
问题来了，谁在 AP/路由器部署证书？
证书的花费，如何保证 AP/路由器的证书不泄露？
如果不在 AP/路由器级别做，而在 Radius 服务器做，那么 Radius 和 AP/路由器之间如何互相验证，如何可靠传输(AP/路由器要发 SSID 给 Radius 以请求签名)，这样又有下一个问题，攻击者直接把这个随机数+签名的 SSID 抄过去不就完事了？
这种时候还是要握手一遍才能验证 AP/路由器端的身份

明文+签名可以验真，但没法保密

相比之下 802.1x 支持的扩展协议可以解决这个问题
当连上一个热点后，需要验证 Radius 和客户端互相验证身份才能建立链接

@honeycomb 好吧，很专业，把这个随机数+签名的 SSID 抄过去我倒是没有想到。我的想法，还是希望在 SSID 广播阶段就能鉴别真伪，这样子对用户是最友好的

wifi 安全的很，保险箱放大街上一样不安全，看你怎么用，谁再用，菜刀能切菜也能杀猪
媒体吹嘘 wifi 不安全是打击匿名发帖，因为会导致组织查水表有困难！

@xrjr2015 这个是真不安全。自己搭一个路由器，再加上最近爆发的百度 wormhole 漏洞，窃取 android 信息，制造钓鱼，安装恶意程序，都是分分钟的事情。另外，昨天去参加一个 中国信息安全用户大会 ，期间有中国公共 WIFI 安全分析报告（首发）（雨袭团），民间自己的调查，通过公共 WIFI 窃取，伪造已经变成一条产业链。报告中有说，目前公共 WIFI 中，很大一部分都是假的。

@tony1016 都说看谁在用，你安卓 app 动不动就请求那么多的权限你自己管理好了吗？有米、淘米客直接木马手段盗窃用户隐私，还怕 wifi 不安全？
安装恶意程序那就更扯了，那么多的国内应用市场明目张胆违法怪用户瞎安装？
不就上个咖啡厅，公交车之类的 wifi ，还哪里有啥公共 wifi ，隔壁房子的 wifi 有几个闲空折腾你的啥个人信息？
媒体放大吹嘘，就是组织部门放口风，打击匿名发帖以及可能的境外信息在境内的流通，现在很多人都是光屁股在网络上跑！

关键问题是：你不能“阻止”一个和你的 ssid 重名的 AP 存在

@julyclyde 但我可以标示哪个是正品，哪个是假的

@xrjr2015 你以为你就管好了？你以为你管好就不会有信息泄漏了？
我在这里讨论公共 WIFI 问题，你非得说隔壁老王没有私钥，你让我怎么跟你沟通

@tony1016 客户端选择网络的时候是按 SSID 选择的而不是按 AP MAC 地址来选择的

@julyclyde 只要有认证的 SSID ，都可以自动连接啊

@tony1016 遇到重名但加密方式不同的多个 AP ，移动站的行为会混乱