Ottenere certificati SSL autofirmati per tutte le connessioni https effettuate da alcune premesse

Naviga le tue risposte
7

Contesto:
Attualmente sto lavorando come espatriato per la mia azienda in un paese in cui Internet è notevolmente inaffidabile. Ha fatto notizia alcuni mesi fa per aver rubato le password degli account di Facebook, Twitter e Gmail.

A gennaio c'è stata una rivoluzione e le cose dovrebbero essere migliorate.

E in effetti hanno, da quando mi connetto a Internet da casa usando una connessione HSPD 3G del provider locale, le cose sono molto più fluide (ma ancora approssimative ai bordi come i messaggi sistematici 403 a volte = > goto reboot il modem) .

Problema
Ma ...
C'è sempre un ma ...
Quando però mi collego dai locali del cliente, poi, tra le altre cose strane 1 , non viene riconosciuto alcun certificato SSL (la mia azienda sso, gmail ...) !!!

Ogni volta che tento di connettermi tramite https, il mio browser mostra una pagina di avviso per darmi la possibilità di convalidare manualmente il certificato. 

www.google.com uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
(Error code: sec_error_ca_cert_invalid)

Domande
1. Cosa sta succedendo qui?
2. C'è qualche rischio nell'accettare manualmente questi certificati?
3. È anche probabile che questo sia il motivo per cui non posso più accedere alla VPN Cisco della mia azienda (posso eseguire il ping dell'indirizzo del server VPN pubblico ma il client Cisco VPN scade).

Nota 1: Gli amministratori di rete hanno anche impedito l'accesso a Facebook e ogni volta che ci si connette a una pagina (ad esempio, mezzi di informazione) con un collegamento a Facebook, il browser visualizza una finestra di dialogo che chiede cosa si vuole fare con like.php . Probabilmente il tipo MIME sbagliato nella risposta. NB: non ho un account Facebook per iniziare.     
posta Alain Pannetier 13.05.2011 - 13:09
fonte

2 risposte

14

1. Cosa sta succedendo qui?

Google.com non utilizza un certificato autofirmato. Molto probabilmente tutto il traffico passa attraverso un proxy ssl-aware (ci sono dispositivi commerciali che fanno questo tipo di lavoro), che intercetta e gestisce le connessioni HTTPS (in altre parole esegue un attacco man-in-the-middle). Per esempio, si maschera da google.com: se ti serve google.com con il certificato originale, non sarà in grado di vedere i dettagli del traffico della connessione crittografata, quindi utilizza un certificato autofirmato per la parte da te alla proxy, decrittografa il traffico e quindi reencrypts usando il certificato corretto di google e lo inoltra a google.

2. C'è qualche rischio in manuale     accettando questi certificati?

Stai facendo o inviando qualcosa che non vuoi che venga scoperto da chiunque sta operando il proxy? Se sì, c'è. Gli operatori proxy possono vedere e modificare tutto - password, accessi, numeri di carte di credito, qualsiasi cosa. Quello che sta succedendo qui è che tutte le connessioni presumibilmente crittografate sono in realtà connessioni di testo in chiaro e hanno lo stesso livello di sicurezza di loro.

3. È anche probabile che questa sia la ragione     perché non riesco ad accedere alla mia azienda     Cisco VPN più (posso eseguire il ping del file     indirizzo del server VPN pubblico ma il     Timeout del client VPN Cisco).

Sì, se intercetta anche le connessioni VPN e tenta di mitigarle, non sarebbe possibile connettersi perché l'autenticazione reciproca fallirà.

Infine, ti suggerisco di usare questa estensione firefox: (chiamata Perspectives) link

È stato creato appositamente per combattere problemi come questo e altri: ti consente di monitorare se un sito che visiti spesso ha cambiato il suo certificato, in modo da sapere che sta succedendo qualcosa di strano.

    
risposta data 13.05.2011 - 13:25
fonte
4

Mi dispiace sentirlo. Per un altro esempio di questo, vedi questa storia EFF: Un man-in-the in corso Un attacco semplice sulla versione HTTPS di Facebook in Siria mette gli utenti a rischio

Un rimedio che suggeriscono utilizza Tor . Ma ovviamente il tuo gestore di rete (come i siriani) potrebbe bloccare anche Tor, nel qual caso le tue scelte stanno diventando un altro ISP o sono completamente caute nell'uso di quello attuale.

    
risposta data 13.05.2011 - 23:11
fonte

Leggi altre domande sui tag

La modalità di testo normale offre una protezione completa contro i malware e-mail? Come implementare un "Remember me" su un'app mobile?