La società in cui lavoro ha iniziato a sovrascrivere i certificati SSL con i propri certificati self-service in modo da poter monitorare il traffico su Internet più da vicino. Hanno anche installato la CA corrispondente nell'archivio certificati. Quando ciò si è verificato, varie applicazioni hanno smesso di funzionare poiché il certificato che è stato rinviato dalla rete non è una CA affidabile per quel programma.
Perché alcuni programmi (come Chrome e IE) funzionano e alcuni (Firefox, NPM, GIT) no?
È questo il modo giusto per fare tutto questo?
Mi chiedo se dire a ogni programma di utilizzare questa CA è il modo di gestire questo problema. Sembra molto fastidioso dover lasciare che ogni programma sappia che una CA è ok.
La domanda principale è:
Dato che una società sta sovrascrivendo i certificati SSL, qual è il modo migliore per far funzionare nuovamente le cose quando non fanno affidamento sull'archivio certificati del livello OS?
- Sarebbe come dire all'IT di non sovrascrivere i certificati SSL su questi servizi / siti?
- Sarebbe usare un proxy?
- Sarebbe quello di fare quello che sto facendo e dire ad ogni programma di consentire il certificato SSL sottoposto a override?
Quindi questo è quello che ho fatto per far funzionare vari programmi:
To get the Certificate so that you can import to other programs:
1. Open Certificates by running ”certmgr.msc” in cmd
2. Go to “Trusted Root Certification Authorities” > “Certificates”
3. Right click internet > Export
4. Select “Base-64 encoded X.509 (.CER)”
5. Save to c:/temp/internet.cer
To get Firefox working:
1. In the address bar, enter “about:preferences#privacy”
2. “View Certificates” > “Authorities” > “Import”
3. Select “c:/temp/internet.cer”
4. Select the trust type of “Trust this CA to identify websites”, then click “Ok”
To get GIT working:
1. Open Cmd as admin
2. git config --global http.sslCAInfo “c:/temp/internet.cer”
Do not run git config http.sslVerify "false"
To get NPM working:
1. Open Cmd as admin
2. npm config set cafile “c:/temp/internet.cer”
Do not run npm config set strict-ssl false
To get Bower working:
1. Open Cmd as admin
2. cd %UserProfile%
3. echo {"ca": "C:\temp\internet.cer","strict-ssl":false} > .bowerrc