Non riesco ad accedere ai siti web che utilizzano HTTPS, ricevendo invece il messaggio "la tua connessione non è privata"!

114

Mi sono improvvisamente in grado di accedere ai siti Web che utilizzano HTTPS, quindi ho contattato il mio fornitore di servizi e mi hanno chiesto di installare un certificato nell'archivio Autorità di certificazione dei certificati attendibili. Ma qualcosa non va: installare un certificato su ogni dispositivo connesso alla stessa rete solo per poter accedere ai siti web che usano HTTPS è semplicemente strano! Come posso essere sicuro che questo certificato sia rilasciato da una CA attendibile?

Quando ho provato ad installarlo, ho ricevuto il seguente messaggio:

Warning: If you install this root certificate, Windows will automatically trust any certificate issued by this CA. Installing a certificate with an unconfirmed thumbprint is a security risk. If you click "Yes" you acknowledge this risk.

Ecco le informazioni sul certificato:

  • Versione: V3
  • Numero di serie: 00 f8 ab 36 f3 84 31 05 39
  • Signature algo: sha1RSA
  • Firma hash algo: sha1
  • Emittente: ISSA, Internet, Internet, Beirut, Beirut, LB
  • Oggetto: ISSA, Internet, Internet, Beirut, Beirut, LB
  • Chiave pubblica: RSA (1024 bit)

È valido fino al 2019.

E a proposito, sono in Libano.

Ho contattato di nuovo il mio ISP e mi hanno detto che stanno usando una sorta di acceleratore per migliorare la velocità e che ha bisogno di autenticazione, quindi hanno scelto di usare un certificato invece di far inserire un nome utente e password ogni volta che vogliono accedere a siti Web che utilizzano HTTPS. E hanno suggerito che, se non avessi fatto nulla, mi avrebbero messo in una nuova piscina. Quindi cosa dovrei fare?

    
posta Tarek 02.02.2015 - 18:11
fonte

6 risposte

127

Sebbene non conosca le specifiche del tuo ISP, direi che è probabile che ciò che stanno facendo qui stia intercettando tutto il traffico che invii su Internet. Per fare ciò (senza ottenere messaggi di errore ogni volta che visiti un sito crittografato HTTPS), è necessario installare un certificato di root, che è quello che hai menzionato nel tuo post.

Hanno bisogno di farlo come quello che solitamente questo tipo di intercettazione comporta è creare il proprio certificato per ogni sito che visiti. quindi, ad esempio, se visiti il link devono avere un certificato che il tuo browser considera valido per quella connessione (che è quella rilasciata da un certificato attendibile Autorità, sia quella fornita con il browser o quella che si installa manualmente).

Dal tuo punto di vista, il problema qui è che significa che possono vedere tutto il tuo traffico Internet tra cui nomi utente / password / dettagli della carta di credito. Quindi, se lo desiderano, possono guardare quelle informazioni. Inoltre, se hanno una violazione della sicurezza, è possibile che altre persone possano avere accesso a tali informazioni. Inoltre, possono anche accedere a qualsiasi account a cui si accede tramite questa connessione Internet (ad esempio, account di posta elettronica). Infine, l'installazione di questo certificato di origine consente loro di modificare il traffico Internet senza rilevamento.

Quello che vorrei raccomandare è che tu chiedi esattamente a loro perché hanno bisogno di vedere i dettagli del tuo traffico crittografato (ad esempio, è un requisito legale per il tuo paese) e se non sei soddisfatto al 100% della risposta, ottenere un nuovo ISP. Un'altra possibilità è usare una VPN e tunnelare tutto il tuo traffico attraverso la VPN. Se non sei soddisfatto del fatto che il tuo ISP abbia ottenuto questo accesso alle tue connessioni HTTPS, non installare il certificato di origine che ti hanno fornito.

    
risposta data 02.02.2015 - 19:49
fonte
51

Questa è una richiesta per cedere tutta la tua privacy e sicurezza a loro.

Si tratta di un problema tecnico molto semplice: hanno bloccato le connessioni HTTPS crittografate e protette. "Reenabling" installando il loro certificato ora ti permetterà di usare connessioni criptate e "sicure", ma darà al tuo ISP pieno accesso per visualizzare i tuoi dati online, modificare qualsiasi cosa scarichi (incluso l'inserimento di backdoor o malware in qualsiasi software scaricato), modificare o filtrare tutto ciò che si carica e ottenere tutte le credenziali di accesso online (password, cookie, altri token di sicurezza) che si utilizzano tramite HTTPS.

Questo non è semplicemente un potenziale rischio teorico. In effetti, dovresti aspettarti che ne stiano già facendo un po 'o tutto questo - è l'unica ragione pratica per cui mettono lo sforzo di bloccare e richiedono il loro certificato in primo luogo.

Solo se desideri avere questa connessione nonostante i problemi summenzionati, puoi accettare il loro certificato. Una buona VPN pagata può essere una soluzione, tuttavia è possibile che blocchino anche le VPN; potrebbe essere il caso che devi scegliere tra una connessione monitorata e non protetta controllata da qualcun altro e senza alcuna connessione.

    
risposta data 03.02.2015 - 04:58
fonte
15

In effetti il tuo ISP sta leggendo tutta la tua posta.

Pensa alla tua connessione Internet come una serie di lettere inviate su pony express. L'errore che stai vedendo è il tuo browser che si lamenta che la tua posta è stata aperta da qualcuno e risigillata con il sigillo di cera sbagliato anziché il previsto, ad esempio Google, sigillo di cera.

Ciò che il tuo ISP ti sta dicendo di fare è riqualificare il tuo browser per trattare il sigillo ISP come più affidabile degno del marchio di Google.

L'errore è corretto. Ti sta dicendo che il tuo ISP sta leggendo la tua posta. Non fare quello che dicono. Cambia il tuo ISP ora.

    
risposta data 03.02.2015 - 10:46
fonte
8

Sono d'accordo che questo suona molto rischioso, ma potrei avere un'idea che potrebbe aiutare, posso solo presumere che stiate usando i server DNS dell'ISP e presumo che stiate usando un router. Perché non basta cambiare l'indirizzo IP del tuo server DNS esterno a qualcosa come Googles per aprire i server DNS 8.8.8.8 e 8.8.4.4. Se si interrompe il messaggio di errore e si presuppone che NON si sia installato il certificato ISP, allora si sa che il problema è risolto. È molto probabile che sia il modo in cui controllano il traffico, molte persone non sanno come modificare manualmente i loro server DNS e tutti hanno bisogno di usare il DNS per accedere a un sito Web, quindi questa idea potrebbe essere di aiuto.

Inoltre potresti andare con un servizio VPN privato come link , trovo che il loro data center in Texas sia ottimo, ma dipende da dove lo sei, ti potrebbe piacere uno diverso, e forniscono la crittografia end-to-end in modo che anche tu possa aiutare. Detto questo, andare a un nuovo ISP è la scelta migliore, l'unico modo in cui l'ISP apprenderà, sarà quando vedranno i propri clienti partire per la competizione.

Good Luck

    
risposta data 06.02.2015 - 01:28
fonte
4

Ho svolto alcune ricerche sulla legge libanese sulla regolamentazione di Internet. Fondamentalmente, il vostro ministro dell'Informazione, Walid Al-Daouq, ha proposto una legge nel 2012 (che non ce l'ha fatta) che avrebbe messo in seria evidenza la libertà di parola in Libano.

Da allora la legge è stata fermata, ma è possibile che il tuo ISP sia stato messo sotto pressione dal governo per monitorare il traffico su Internet su scala nazionale al fine di trovare persone che minacciano la sicurezza nazionale. La legge libanese ha censura per questioni che riguardano la sicurezza nazionale, quindi non è un modo per supporre che chiederanno agli ISP di monitorare tutte le forme di traffico.

Potresti anche aver sentito parlare di Mia Khalifa. Di recente è stata votata "la pornostar numero 1" e dal momento che è originaria del Libano, il governo non è soddisfatto. La sua popolarità potrebbe avere qualcosa a che fare con la recente corsa per il monitoraggio.

    
risposta data 07.02.2015 - 00:46
fonte
2

Se hanno fatto questo, a seconda della tua regione, questa può essere vista come una violazione dei diritti umani in "diritto alla vita privata".

L'errore che stai ricevendo è in realtà un problema comune.

Chiunque abbia parlato con il tuo ISP potrebbe non sapere di cosa stai parlando e ti ha semplicemente derubato chiedendoti di installare certificati.

Da quando ho ricevuto questo errore, hai provato a guardare l'orologio sul tuo computer? Se non è impostato correttamente, l'ora sui certificati (che sono impostati in base all'orario dell'autorità di certificazione) non sarà la stessa sui computer, pertanto ti verrà richiesto un messaggio come "il tuo traffico non è sicuro".

Non permettere semplicemente i certificati in quanto ciò sconfigge lo scopo, e se non sai cosa stai facendo, puoi commettere degli errori che ti costeranno!

Il compito di un'autorità di certificazione, come Verisign, è di verificarlo e tutto ciò che devi fare è assicurarti che i tuoi sistemi non siano compromessi e che tu abbia impostato il tuo orologio.

    
risposta data 03.02.2015 - 11:18
fonte

Leggi altre domande sui tag