Perché / come fa Firefox a bypassare la decodifica SSL del mio datore di lavoro?

Naviga le tue risposte
5

Il mio datore di lavoro ha impostato ciò che chiamano "decrittazione SSL" per l'accesso a Internet dall'interno dell'azienda. Credo che questo sia fornito da un dispositivo f5. Hanno installato un certificato radice attendibile su tutti i dispositivi aziendali e lo stanno utilizzando per terminare gli https in uscita, creando la propria connessione https al server esterno, intercettando tutti i dati in testo semplice e ricodificandolo utilizzando un certificato falso firmato dalla loro sostituzione certificato di root. Quindi, tutto sommato.

Posso vedere che questa intercettazione sta avvenendo visualizzando il percorso di certificazione nel mio browser, ottengo qualcosa del tipo: 

+- Acme Corporation Root CA
|
+--+- *
   |
   +--+- www.letsencrypt.org

Quanto sopra è vero sia per Internet Explorer 11 sia per Chrome 65. Tuttavia, quando provo Firefox 59 vedo il seguente percorso di certificazione: 

+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
   |
   +--+- www.letsencrypt.org

Quello che capisco da questo è che la connessione di Firefox ha non stato intercettato e decodificato. (Se ho raggiunto la conclusione sbagliata qui, sarebbe utile saperlo.)

Firefox fornisce sotto Dettagli tecnici le seguenti informazioni:

Connection Encrypted (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bit keys, TLS 1.2)

Non riesco a trovare un modo per vedere quale versione di TLS è utilizzata da IE e Chrome.

Firefox non mostra alcun certificato radice aziendale installato nel suo elenco di certificati affidabili (poiché non utilizza l'archivio certificati di Windows). Inoltre, l'opzione security.enterprise_roots.enabled è false .

La mia domanda è, perché e come si evita Firefox? Firefox mi sta mentendo e la connessione in realtà viene intercettata in qualche modo? Sta utilizzando una versione diversa di TLS o di una suite di crittografia diversa che il dispositivo f5 non è in grado di gestire?

Si noti che ho letto In che modo gli utenti finali possono rilevare tentativi malevoli di spoofing SSL quando la rete dispone già di un proxy SSL autorizzato? che descrive una situazione simile ma non è davvero illuminante. Ho anche visto l'addon Certificate Patrol ma che non è compatibile con Firefox Quantum . (C'è una sostituzione che funziona con Firefox moderno?)

    
posta Whitewash 05.04.2018 - 23:58
fonte

2 risposte

10

È abbastanza semplice, è il tuo datore di lavoro che non ha protetto la rete in modo corretto. Immagino che aggiungano impostazioni proxy di sistema o che configurino gli altri browser per utilizzare il loro proxy di intercettazione e l'intercettazione si verifica solo quando si utilizza il proxy, ma non hanno messo un firewall di rete per bloccare il traffico che non passa attraverso il proxy.

    
risposta data 06.04.2018 - 01:25
fonte
0

Firefox utilizza la propria memoria certificati, separata dalla memoria utilizzata dal sistema operativo. La maggior parte degli altri browser usa quella di sistema, che puoi leggere nella risposta . Puoi leggere la politica sui certificati di Mozilla sul loro sito web qui , la parte più rilevante è:

When distributing binary and source code versions of Firefox, Thunderbird, and other Mozilla-related software products, Mozilla includes with such software a set of X.509v3 root certificates for various Certification Authorities (CAs).

Mozilla ha anche uno strumento chiamato certutil per la modifica il database.

Correlati: questa domanda

    
risposta data 06.04.2018 - 00:48
fonte

Leggi altre domande sui tag

Come difendermi dagli hacks noti di php Quali algoritmi di crittografia asimmetrica sono in uso comune accanto a RSA?