Pytanie:
Nie mogę uzyskać dostępu do witryn korzystających z protokołu HTTPS, zamiast tego pojawia się komunikat „Twoje połączenie nie jest prywatne”!
Tarek
2015-02-02 23:11:03 UTC
view on stackexchange narkive permalink

Nagle nie mogłem uzyskać dostępu do witryn korzystających z protokołu HTTPS, więc skontaktowałem się z moim dostawcą usług i poprosili mnie o zainstalowanie certyfikatu w magazynie Zaufane główne urzędy certyfikacji. Ale coś jest nie tak: instalowanie certyfikatu na każdym urządzeniu podłączonym do tej samej sieci tylko po to, aby uzyskać dostęp do stron internetowych korzystających z HTTPS, jest po prostu dziwne! Jak mogę się upewnić, że ten certyfikat został wydany przez zaufany urząd certyfikacji?

Kiedy próbowałem go zainstalować, otrzymałem następujący komunikat:

Ostrzeżenie: Jeśli zainstalujesz ten certyfikat główny, system Windows automatycznie zaufa każdemu certyfikatowi wystawionemu przez ten urząd certyfikacji. Zainstalowanie certyfikatu z niepotwierdzonym odciskiem palca stanowi zagrożenie bezpieczeństwa. Klikając „Tak”, akceptujesz to ryzyko.

Oto informacje o certyfikacie:

  • Wersja: V3
  • Numer seryjny : 00 f8 ab 36 f3 84 31 05 39
  • Signature algo: sha1RSA
  • Signature hash algo: sha1
  • Wystawca: ISSA, Internet, Internet, Bejrut, Beirut, LB
  • Temat: ISSA, Internet, Internet, Bejrut, Bejrut, LB
  • Klucz publiczny: RSA (1024 bity)

To ważna do 2019 r.

A tak przy okazji, jestem w Libanie.

Ponownie skontaktowałem się z moim dostawcą Internetu i powiedzieli mi, że używają jakiegoś akcelerator w celu zwiększenia szybkości i wymaga uwierzytelnienia, dlatego zdecydowali się użyć certyfikatu, zamiast zmuszać użytkownika do wprowadzania nazwy użytkownika i hasła za każdym razem, gdy chce uzyskać dostęp do witryn internetowych korzystających z protokołu HTTPS. Zasugerowali, że jeśli mi się to nie podoba, umieszczą mnie w nowym basenie. Więc co mam zrobić?

Brzmi trochę podejrzanie. Tak jak twój ISP pośredniczy w zarządzaniu twoim podejrzanym HTTPS. Jaki kraj / ISP? Czy możesz podać nam szczegóły Cert?
możliwy duplikat [Dlaczego firefox pokazuje, że niektóre połączenia nie są bezpieczne?] (http://security.stackexchange.com/questions/23095/why-firefox-shows-some-connections-are-not-secure)
tak - ISP robi MITM
Whoa, to straszne. Mówiąc prościej, twój dostawca usług internetowych prosi cię o zainstalowanie backdoora na twoim komputerze, aby mógł monitorować i / lub modyfikować twój ruch sieciowy w celu zabezpieczenia witryn (HTTPS). Jeśli zainstalujesz ten certyfikat, Twój dostawca usług internetowych będzie mógł odczytywać wszelkie informacje przesyłane przez Internet z bezpiecznych witryn. Byle co. Obejmuje to hasła, numery kont bankowych, cokolwiek. Pamiętaj, że w przypadku zwykłego, niezabezpieczonego (HTTP) ruchu, mają już tę możliwość, chyba że używasz VPN.
To, co powiedział ci twój dostawca usług internetowych, jest tylko połową prawdy! Ukrywa fakt, że aby przyspieszyć twój internet, użyje certyfikatu do odszyfrowania całego twojego bezpiecznego ruchu, przeczyta go, aby go skompresować. Można to (teraz) zrobić z dobrymi intencjami (aby zaoszczędzić ISP trochę pieniędzy na infrastrukturze) - ale oznacza to, że szeroko otwierasz swój system i prywatne dane na szereg ataków i możliwe opcje sprzedaży swoich prywatnych danych
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/20841/discussion-on-question-by-tarek-i-cant-access-websites-that-use-https-instead) .
Nie wolno odpowiedzieć ... Chciałem tylko dodać, że niektórzy ISP robią to bez złych zamiarów. Miałem kij UMTS jakiś czas temu z O2 (Niemcy). Aby umożliwić „dobre przeglądanie”, przechwycili cały mój ruch i ponownie zakodowali wszystkie obrazy do niższej jakości, aby zaoszczędzić przepustowość. Możliwe, że Twój dostawca usług internetowych próbuje czegoś podobnego. Spróbuj się z nimi skontaktować, aby powiedzieć im, że nie chcesz korzystać z tej usługi.
Uwaga: sieci korporacyjne często robią dokładnie to samo, przechwytując cały ruch za pośrednictwem certyfikatu głównego, który jest wstępnie zainstalowany na urządzeniach firmowych. Możesz napotkać te same problemy, wprowadzając własne urządzenie do takiej sieci, ale zwykli użytkownicy nie byliby tego świadomi.
Oprócz punktów dotyczących prywatności i bezpieczeństwa wymienionych w odpowiedziach, w zależności od kraju, możesz wskazać dostawcy usług internetowych, że będzie on teraz odpowiadał za wszelkie problemy związane z przeglądaniem przez HTTPS. Obejmuje to transakcje finansowe i zdrowotne, które mogą ich kosztować miliardy. Upewnij się, że przechowujesz możliwą do uzyskania prawnie kopię tego ostrzeżenia (i zaznacz w swoim liście, że zachowasz tę kopię).
Może się również zdarzyć, że dostawca usług internetowych chce wprowadzić JavaScript do całego ruchu, a nie tylko do HTTP, do celów śledzenia i reklamy. ISP w USA to robi. Tak samo zły IMHO
„[Mój dostawca usług internetowych] powiedział mi, że ... wymaga uwierzytelnienia, więc zdecydowali się użyć certyfikatu, zamiast zmuszać użytkownika do wpisywania nazwy użytkownika i hasła za każdym razem, gdy chcą uzyskać dostęp do witryn internetowych korzystających z protokołu HTTPS”. - jest to rażące kłamstwo, ale jest to rodzaj kłamstwa, które możesz powiedzieć, aby uspokoić użytkowników, którzy chcą wiedzieć, co robisz, ale tego nie rozumieją (niekoniecznie * złośliwe kłamstwo).
Każdy legalny akcelerator, o którym wiem, nie przyspiesza HTTPS właśnie z powodu braku bezpieczeństwa, którego wymaga. Zwykle nie jest to wielka sprawa, ponieważ większość witryn HTTPS nie zależy od szybkości. Głównym, o którym wiem, jest YouTube, ale większość akceleratorów nie obsługuje wideo, a nawet jeśli tak, Google jest wystarczająco dobry, aby mieć sposób na wyłączenie HTTPS dla YouTube.
@example: Oczywiście O2 jest _ jedynym dostawcą_, który stał się niesławny na początku XXI wieku z powodu złośliwości na największą możliwą skalę (i braku sprytu). Pamiętaj, kiedy ten facet złożył skargę, ponieważ dwukrotnie obciążał każdą jego rozmowę komórkową. Okazało się, że przekierowali do BND połączenia setek tysięcy klientów w ciągu miesięcy i obciążyli ich kosztami (tylko prawie nikt nie patrzy na ich rachunki, więc minęło trochę czasu, zanim ktoś zauważył).
Nawet mając najlepsze intencje, bycie zaufanym CA to WIELKA sprawa.Zobacz [tę odpowiedź] (http://security.stackexchange.com/a/24906/132456), aby poznać wszystkie środki bezpieczeństwa, jakie powinni podjąć.Twój dostawca usług internetowych z pewnością tego nie robi.
Sześć odpowiedzi:
Rory McCune
2015-02-03 00:49:19 UTC
view on stackexchange narkive permalink

Chociaż nie znam szczegółów twojego dostawcy usług internetowych, powiedziałbym, że jest prawdopodobne, że to, co tutaj robią, przechwytuje cały ruch przesyłany przez Internet. Aby to zrobić (bez otrzymywania komunikatów o błędach za każdym razem, gdy odwiedzasz witrynę zaszyfrowaną za pomocą protokołu HTTPS), musieliby zainstalować certyfikat główny, o czym wspominasz w swoim poście.

Muszą to zrobić ponieważ ten rodzaj przechwytywania zwykle pociąga za sobą utworzenie własnego certyfikatu dla każdej odwiedzanej witryny. na przykład, jeśli odwiedzasz https://www.amazon.com, muszą oni mieć certyfikat, który Twoja przeglądarka uważa za ważny dla tego połączenia (który jest wydany przez zaufany urząd certyfikacji, albo z przeglądarką lub tą, którą zainstalujesz ręcznie).

Z Twojej perspektywy problem polega na tym, że mogą one zobaczyć cały Twój ruch internetowy, w tym nazwy użytkownika / hasła / dane karty kredytowej. Więc jeśli chcą, mogą przejrzeć te informacje. Również w przypadku naruszenia bezpieczeństwa możliwe jest, że inne osoby mogą uzyskać dostęp do tych informacji. Ponadto mogą również uzyskać dostęp do dowolnego konta, do którego uzyskujesz dostęp przez to połączenie internetowe (np. Konta e-mail). Wreszcie, zainstalowanie tego certyfikatu głównego pozwala im modyfikować Twój ruch internetowy bez wykrywania.

Polecam, aby zapytać ich dokładnie, dlaczego muszą zobaczyć szczegóły Twojego zaszyfrowanego ruchu (np. Czy to jest wymóg prawny dla Twojego kraju), a jeśli odpowiedź nie jest w 100% satysfakcjonująca, uzyskaj nowego dostawcę usług internetowych. Inną możliwością jest użycie VPN i tunelowanie całego ruchu przez VPN. Jeśli nie jesteś zadowolony z uzyskania przez dostawcę usług internetowych tego dostępu do połączeń HTTPS, nie instaluj certyfikatu głównego, który Ci dostarczył.

Zwróć uwagę, że nawet jeśli nie zainstalujesz certyfikatu głównego, tego rodzaju zachowanie ze strony usługodawcy internetowego prawdopodobnie wskazuje, że monitoruje on już Twój niezaszyfrowany ruch HTTP (nawet jeśli nie może monitorować ruchu HTTPS bez zainstalowania certyfikatu lub zignorowania ostrzeżenia bezpieczeństwa z Twojej przeglądarki).
Wygląda również na to, że * wymagają * od Ciebie wzięcia ich certyfikatu man-in-the-middle, blokując cały ruch SSL, dopóki tego nie zrobisz. Jest to POWAŻNIE inwazyjne. Poszedłbym teraz na zakupy do innego dostawcy. Aha, i idź po TOR, jeśli / póki jeszcze możesz.
Nie zapomnij sprawdzić czeków TOR, aby upewnić się, że oni też go nie przechwycili
@Freedom: Sprawdź przed czym? Opublikowane sumy kontrolne w witrynach HTTP mogły zostać sfałszowane, te na HTTPS są blokowane. Jeśli OP opublikuje adres pocztowy, ktoś może wysłać mu sumę kontrolną, ale nadal może być to dostawca usług internetowych, rząd, tajne służby lub cokolwiek w przebraniu. Trudno jest budować zaufanie bez jakiejkolwiek kotwicy zaufania. Wystarczająca liczba różnych osób dostarczających te same odciski palców na wystarczającej liczbie różnych forów z uwzględnieniem wystarczającej liczby różnych protokołów (HTTP, IRC, News, Mail) może sprawić, że spójne manipulowanie będzie mniej prawdopodobne, ale czy możesz być pewien, że nie przeczytasz wszystkich źródeł TOR samodzielnie?
@Freedom Istnieje wiele sposobów „znajdowania i zastępowania”, na poziomie proxy MITM, wszystkich prawidłowych skrótów w Internecie, na te ze skażonego pakietu.
@Commenters, proszę powstrzymać się od rozszerzonych dyskusji w komentarzach - szczególnie tych, które są tylko stycznie związane z tematem. Aby uzyskać więcej informacji, użyj [czatu].
Jeden z najważniejszych punktów: ** Nawet jeśli Twój dostawca usług internetowych jest godny zaufania **, istnieje ryzyko, że ktokolwiek zdobędzie klucz prywatny tego certyfikatu. Jeśli dostałeś go od jakiegoś podejrzanego gościa z ich linii pomocy, może zamienił go swoim własnym certyfikatem i spróbuje oszustwa lub ktoś włamuje się do ich serwera kompresji ...
ZDECYDOWANIE polecam każdemu, kto rozważa sumy kontrolne weryfikację TOR lub jakiegokolwiek innego pliku binarnego, ze względów bezpieczeństwa, a zamiast tego zweryfikowanie podpisu cyfrowego pliku binarnego dostarczonego przez twórców. TOR zapewnia [bardzo pomocny samouczek] (https://www.torproject.org/docs/verifying-signatures.html) na temat weryfikacji podpisu.
@Roy Czy możesz opublikować odcisk palca certyfikatu, o zainstalowanie którego poprosili Cię? Dzięki.
@EricLloyd: To nie jest poprawne. Dostawca usług internetowych nie blokuje całego ruchu SSL; po prostu rozpoczęli już MITM-owanie, więc * przeglądarka * blokuje ruch (ponieważ nie rozpoznaje certyfikatu). Nie twierdzę, że jest to "rozsądne", bo cała sprawa nie jest rozsądna, ale MITM nie ma możliwości wykrycia, czy dany użytkownik zainstalował jeszcze certyfikat root, więc ten konkretny aspekt nie jest specjalnym złym zachowaniem ISP . (Ale powinni byli zdecydować się na całość).
@ruakh, Punkt dobrze zajęty. Kiedy OP powiedział, że nie może odwiedzać stron https, założyłem, że jest to całkowity blok, bez możliwości ominięcia go. My Thinko. :-)
Zgadzam się z tym wyjaśnieniem. Brzmi trochę tak, jak Nokia zrobiła z Ovi, które podobno było legalnym mobilnym proxy w celu poprawy wydajności sieci - https://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/
Jaki punkt ma tunelowanie komunikacji przez VPN, biorąc pod uwagę, że Twój dostawca usług internetowych może przechwycić tunel VPN, rozpakować go i przechwycić rekursywnie zawartość?A jeśli nie rozpoznają protokołu VPN, zawsze mogą go wyłączyć.
@JanDvorak w jaki sposób dostawca usług internetowych przechwyciłby ruch VPN bez kluczy, aby to zrobić?Oczywiście dostawca usług internetowych może zablokować wszystko, co im się podoba, chociaż musiałby rozpoznać ruch jako VPN i zablokować go.Celem korzystania z VPN jest uniknięcie przechwytywania w lokalnej sieci ISP, w której używają standardowych technik przechwytywania.
Peteris
2015-02-03 09:58:21 UTC
view on stackexchange narkive permalink

To jest prośba o przekazanie im całej swojej prywatności i bezpieczeństwa.

Jest to bardzo prosta kwestia techniczna - zablokowali szyfrowane i bezpieczne połączenia HTTPS. „Ponowne włączenie” go przez zainstalowanie ich certyfikatu umożliwi teraz korzystanie z zaszyfrowanych i „bezpiecznych” połączeń, ale zapewni Twojemu dostawcy usług internetowych pełny dostęp do przeglądania Twoich danych online i modyfikowania wszystkiego, co pobierasz (w tym wstawianie tylnych drzwi lub złośliwe oprogramowanie w jakimkolwiek pobranym oprogramowaniu), modyfikować lub filtrować wszystko, co przesyłasz, i uzyskiwać wszystkie poświadczenia dostępu online (hasła, pliki cookie, inne tokeny zabezpieczające), których używasz za pośrednictwem protokołu HTTPS.

To nie jest tylko potencjalne teoretyczne ryzyko. Właściwie powinieneś spodziewać się, że już robią część lub wszystko to - to jedyny praktyczny powód, dla którego wkładają wysiłek w blokowanie i wymagają przede wszystkim swojego certyfikatu.

Tylko jeśli chcesz masz to połączenie pomimo w / w problemów, wtedy możesz zaakceptować ich certyfikat. Dobry płatny VPN może być rozwiązaniem, jednak możliwe jest, że będzie on również blokował VPN; może się zdarzyć, że będziesz musiał wybrać między monitorowanym i niezabezpieczonym połączeniem kontrolowanym przez kogoś innego i brakiem połączenia.

Jeśli zablokują porty VPN lub VPN, czy byłoby możliwe skonfigurowanie (osobistego) VPN (serwera) na porcie 80 i używanie go?
@SPRBRN Tak, ale to byłoby bezcelowe. Jeśli serwer VPN działa w Twojej sieci lokalnej, podlega dokładnie temu samemu monitorowaniu i ograniczeniom ze strony Twojego usługodawcy internetowego, jak gdybyś nie korzystał z VPN.
Korzystanie z serwera VPN znajdującego się w tej samej sieci co klient jest samo w sobie bezcelowe. Serwer VPN powinien znajdować się w innym miejscu, hostowany przez dostawcę VPN lub w osobistym VPS. Ta ostatnia opcja umożliwiłaby uruchomienie go na porcie 80 na tym serwerze. To była moja sugestia. Ten ruch jest dozwolony. To samo byłoby, gdyby uruchomić serwer SSH na tym serwerze na porcie 80 zamiast portu 22.
@SPRBRN Ach, rozumiem. Mówiłeś o ominięciu blokady, łącząc się z VPN przez port 80 zamiast zwykłego portu, a nie o konfigurowaniu osobistej sieci VPN w sieci lokalnej. Przepraszam za nieporozumienie.
„to jedyny praktyczny powód, dla którego włożyli wysiłek, aby to blokowanie i certyfikat były na pierwszym miejscu”. Z edycji OP wygląda na to, że dostawca usług internetowych OP podał inny praktyczny powód, dla którego warto przeprowadzić tego rodzaju MITM.
Prawdopodobnie niczego nie * blokują *. * Przechwytują * ruch, ale jest prawdopodobne, że przeglądarka blokuje.
Aron
2015-02-03 15:46:58 UTC
view on stackexchange narkive permalink

W efekcie twój ISP czyta całą twoją pocztę.

Pomyśl o swoim połączeniu internetowym jako o serii listów wysyłanych pony express. Błąd, który widzisz, to Twoja przeglądarka narzeka, że ​​Twoja poczta została otwarta przez kogoś i ponownie zapieczętowana niewłaściwą pieczęcią lakową zamiast oczekiwanej pieczęci lakowej Google.

Co mówi Ci Twój dostawca usług internetowych należy ponownie przeszkolić przeglądarkę, aby traktowała pieczęć dostawcy usług internetowych jako bardziej godną zaufania niż pieczęć Google.

Błąd jest poprawny. Mówi ci, że twój ISP czyta twoją pocztę. Nie rób tego, co mówią. Zmień teraz swojego dostawcę usług internetowych.

Frank R
2015-02-06 06:28:23 UTC
view on stackexchange narkive permalink

Zgadzam się, że brzmi to bardzo podejrzanie, ale mogę mieć pomysł, który może pomóc. Mogę tylko założyć, że używasz serwerów DNS dostawcy usług internetowych i zakładam, że używasz routera. Dlaczego nie zmienić adresu IP zewnętrznego serwera DNS na coś takiego jak otwarte serwery DNS firmy Google 8.8.8.8 i 8.8.4.4. Jeśli to zatrzyma komunikat o błędzie i zakładając, że NIE zainstalowałeś certyfikatu ISP, wiesz, że problem został rozwiązany. Jest bardzo prawdopodobne, że w ten sposób kontrolują ruch, wiele osób nie wie, jak ręcznie zmienić swoje serwery DNS i każdy musi korzystać z DNS, aby przejść do witryny internetowej, więc ten pomysł może pomóc.

Dodatkowo możesz skorzystać z prywatnej usługi VPN, takiej jak https://www.privateinternetaccess.com/. Uważam, że ich centrum danych w Teksasie jest świetne, ale w zależności od tego, gdzie są, możesz polubić inny i zapewniają szyfrowanie od końca do końca, więc to też może pomóc. Wszystko to powiedziawszy, udanie się do nowego dostawcy usług internetowych to najlepszy wybór, a jedyny sposób, w jaki dostawca usług internetowych będzie się uczyć, będzie wtedy, gdy zobaczą, jak klienci odchodzą do konkurencji.

Powodzenia

Mieliśmy ten sam problem z zhakowanym routerem przesyłającym cały ruch przez podejrzany DNS.
Nzall
2015-02-07 05:46:13 UTC
view on stackexchange narkive permalink

Zrobiłem pewne badania na temat libańskiej ustawy o regulacjach internetowych. Zasadniczo, Wasz minister informacji, Walid Al-Daouq, zaproponował w 2012 roku ustawę (która go nie przyjęła), która położyłaby duży nacisk na wolność słowa w Libanie.

Prawo to od tego czasu został zatrzymany, ale możliwe, że Twój dostawca usług internetowych znalazł się pod presją rządu, aby monitorował ruch internetowy w skali kraju, aby znaleźć osoby zagrażające bezpieczeństwu narodowemu. Libańskie prawo ma cenzurę w sprawach, które mają wpływ na bezpieczeństwo narodowe, więc nie jest przesadą zakładanie, że poproszą dostawców usług internetowych o monitorowanie wszystkich form handlu.

Być może słyszałeś także o Mii Khalifie. Niedawno została wybrana "gwiazdą porno numer 1", a ponieważ pochodzi z Libanu, rząd nie jest z tego zadowolony. Jej popularność może mieć coś wspólnego z niedawnym pośpiechem do monitorowania.

[\ [potrzebne źródło] (http://en.wikipedia.org/wiki/Wikipedia:Citation_needed) \] _ (Nie zgadzam się z tobą, myślę tylko, że twoja odpowiedź będzie lepszym cytowaniem lub linkowaniem do informacji znalezionych w Twoje badania) _
Rio Hazuki
2015-02-03 16:18:02 UTC
view on stackexchange narkive permalink

Jeśli to zrobili, w zależności od regionu, może to być postrzegane jako naruszenie praw człowieka w ramach „prawa do życia prywatnego”.

Błąd, który otrzymujesz, jest w rzeczywistości częstym problemem .

Ktokolwiek rozmawiałeś z dostawcą usług internetowych, może nie wiedzieć, o czym mówisz i po prostu odstraszył Cię od prośby o zainstalowanie certyfikatów.

Czy od czasu pojawienia się tego błędu próbowałeś spojrzeć na zegar na komputerze? Jeśli nie zostanie ustawiony poprawnie, czas na certyfikatach (które są ustawione zgodnie z czasem urzędu certyfikacji) nie będzie taki sam na Twoich komputerach, dlatego wyświetlany jest komunikat typu „Twój ruch nie jest bezpieczny”.

Nie zezwalaj po prostu na wydawanie certyfikatów, bo to mija się z celem, a jeśli nie wiesz, co robisz, możesz popełniać błędy, które będą Cię kosztować!

To jest praca urzędu certyfikacji, takiego jak Verisign, w celu zweryfikowania go, a wszystko, co musisz zrobić, to upewnić się, że twoje systemy nie są zagrożone i ustawić zegar.

+1 Chociaż uważam, że twój ton jest trochę nie na miejscu (nie próbuj dodawać do tego ideologii i nie dyskutuj o wkładach innych ludzi, zwłaszcza jeśli znajdą dużo głosów za), absolutnie zgadzam się z faktem że najpierw należy sprawdzić najprostsze źródła błędów. Nieprawidłowy zegar systemowy spowodował już wcześniej ten problem!
Ludzie naprawdę muszą przestać narzekać na „prawa”, kiedy jest to całkowicie nielogiczne.
Przekrzywienie zegara spowodowałoby, że każdy certyfikat wyglądałby tak, jakby wygasł - nie ma na to żadnej wzmianki w pytaniu.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...