Perché Firefox (e solo Firefox) segnala che la mia connessione non è sicura su più siti?

Question

Perché Firefox (e solo Firefox) segnala che la mia connessione non è sicura su più siti?

#1 da (76 voti)
#2 da (13 voti)
#3 da (2 voti)

67

Dopo aver installato Firefox 54.0.1 sul mio portatile da lavoro, la prima pagina che vedo mi avverte che "La tua connessione non è sicura" quando apri https://www.mozilla.org/ .

_{"Il proprietario di Firefox ha configurato il proprio sito web in modo improprio"}

Dopo aver letto un po 'di più, ho notato che Firefox non riportava solo errori per Mozilla.

Firefox segnala gli errori di sicurezza HTTPS per Google , Microsoft , Dropbox , GitHub , Wikipedia , LastPass , Netflix , Facebook , Twitter , Skype , WhatsApp , WolframAlpha , Amazon , LinkedIn , AutoHotke y , Yahoo , Imgur e persino Scambio stack .

Ci sono alcune cose degne di nota su questi errori.

Né Google Chrome 59.0.3071.115 né Internet Explorer 10.0.9200.22139 segnalano problemi di sicurezza su nessuno dei siti web elencati
Alcuni siti selezionati caricano in Firefox senza riportare errori di sicurezza, tra cui Scopri , Visa , Mastercard , Chase , American Express , Citibank , Capital One , Bank of America , PayPal , Striscia , Intuit , TreasuryDirect , iCloud * , Discord e YouTube .
- ( Prevalentemente, la maggior parte dei siti che caricano senza segnalare errori di sicurezza sono correlati a servizi bancari e finanziari online )
Sono in grado di caricare la pagina di supporto di Mozilla e Wells Fargo senza errori di sicurezza, ma le pagine vengono visualizzate come testo senza alcuna immagine o formattazione

Vale la pena di ricordare che questi errori di sicurezza si verificano su un portatile rilasciato da lavoro, il che significa che il mio datore di lavoro è molto probabilmente eseguirà la scansione di HTTPS traffico .

Sebbene la scansione HTTPS possa almeno parzialmente spiegare gli errori di sicurezza HTTPS, la situazione mi lascia ancora alcune domande.

Perché Firefox è l'unico browser che segnala questi errori di sicurezza?
Perché Firefox non segnala errori di sicurezza sui siti Web bancari e finanziari?
Perché alcune pagine non riportano errori di sicurezza, ma vengono caricate solo come testo normale?

^{* Nota: sebbene iCloud non abbia segnalato errori di sicurezza, alla fine la pagina non è stata caricata con un errore di connessione .}

firefox tls certificates man-in-the-middle

posta Steven M. Vascellaro 20.07.2017 - 17:04

fonte

3 risposte

13

Why is Firefox the only browser reporting these security errors?

Come già detto, Firefox utilizza il proprio archivio Autorità di certificazione, la gestione da un punto di vista aziendale è difficile e di solito non vale la pena quando Chrome è consentito.

Why isn't Firefox reporting security errors on banking and financial websites?

L'ispezione HTTPS da parte di un proxy trasparente di solito non è consentita dalle leggi in quanto potrebbe rompere la riservatezza bancaria dell'utente ed è generalmente considerata illegale.

Why do some pages not report security errors, but only load as plain text?

Di solito (da ciò che ha visto) è perché la prima pagina è categorizzata come "non dovrebbe essere intercettata" come sono i siti finanziari (che è il caso di Wells Fargo sulla lista di Bluecoat qui ), ma le immagini provengono da un altro CDN, quindi l'intercettazione si attiva sul CDN e le immagini non vengono caricate perché il certificato di autorità è sconosciuto a Firefox.

risposta data 20.07.2017 - 17:20

fonte

2

Nel mio caso, Avast interferiva con il corretto caricamento del sito su Firefox, ma andava bene su altri browser.

Ho selezionato "Scansione connessioni sicure" nelle impostazioni di Web Shield e i miei problemi sono stati risolti.

risposta data 21.12.2018 - 12:31

fonte

Leggi altre domande sui tag firefox tls certificates man-in-the-middle

La sicurezza dell'oscurità è orribile. La sicurezza e l'oscurità sono buone? In che modo WhatsApp invia messaggi crittografati end-to-end nelle notifiche push?

score 76 · Accepted Answer

C'è molto da disfare e quindi farò del mio meglio qui (basato su alcune ipotesi).

Firefox mantiene il proprio archivio certificati che probabilmente è la ragione per cui solo Firefox lancia questi errori. Tradizionalmente, SysAdmins distribuirà i certificati tramite i Criteri di gruppo, che funziona sia per Chrome che IE / Edge, ma Firefox non si fiderà di esso. Immagino che il tuo traffico venga intercettato da un server proxy trasparente che sta ispezionando il tuo traffico (nota che guardando le informazioni del certificato rivelerai se questo è o meno un certificato che il tuo lavoro ha eliminato).
Supponendo di nuovo, ma il tuo lavoro probabilmente è non esplicitamente il traffico del sito web finanziario, presumibilmente per evitare qualsiasi potenziale responsabilità nel farlo.
Non ho idea del motivo per cui alcuni vengono caricati come testo normale. Questo potrebbe essere qualcosa a che fare con il processo di proxy.

EDIT: come ha puntualizzato Arminius , le pagine caricate come testo normale sono probabilmente dovute a errori dei certificati che si verificano con risorse estratte da domini di terze parti. È probabile che le immagini e i CSS non vengano caricati poiché gli errori di cert da questi domini impediscono la trasmissione delle risorse.