Probleme beim Herstellen einer Verbindung zu HTTPS-Websites über ungesichertes WLAN

9

Ich bin auf einem MacBook Air mit OSX 10.10.2. Ich versuche, eine Verbindung zu einer HTTPS-Website in Firefox herzustellen, und erhalte die Nachricht

Ihre Verbindung ist nicht sicher

Der Eigentümer von www.google.co.il hat seine Website nicht ordnungsgemäß konfiguriert. Um Ihre Daten vor Diebstahl zu schützen, hat Firefox keine Verbindung zu dieser Website hergestellt.

Diese Site verwendet HTTP Strict Transport Security (HSTS), um anzugeben, dass Firefox nur eine sichere Verbindung herstellen darf. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat hinzuzufügen.

Wenn ich auf Erweitert klicke, sehe ich

www.google.co.il verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist nicht vertrauenswürdig, da das Ausstellerzertifikat unbekannt ist. Der Server sendet möglicherweise nicht die entsprechenden Zwischenzertifikate. Möglicherweise muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Wenn ich versuche, eine Nicht-HTTPS-Website zu öffnen, scheint dies zu funktionieren, und wenn ich mit einem Kennwort eine Verbindung zu einem WLAN herstelle, funktioniert alles. Ich habe versucht, Browser-Caches zu löschen und den Verlauf zu löschen, aus- und wieder einzuschalten und Chrome zu verwenden.

Ich habe Safari verwendet und konnte den Fehler umgehen, aber dann wird mir "העמוד אליו הגעת חסום לגלישה!" was bedeutet "Die Seite, die Sie erreicht haben, ist für das Surfen gesperrt!" aber es sagt nicht warum.

Ich habe keinen Zugriff auf den Router, aber alle anderen, deren Computer mit diesem WLAN verbunden ist, scheinen einwandfrei zu funktionieren.

Yoni Subin
quelle
1
Mir scheint, es gibt einen Proxy in der Mitte oder Ihre Daten werden entführt, und Ihr Browser ist der einzige, der neu genug ist, um dies zu bemerken, aber dies ist nur eine Vermutung ... HSTS wird verwendet, um HTTPS und den ungültigen zu erzwingen SSL-Zertifikat bei Google scheint sehr zwielichtig!
Onik
In welchem ​​Netzwerk befinden Sie sich in diesem Fall? Ist dies ein gemeinsam genutztes WiFI-Netzwerk? Ein Unternehmensnetzwerk?
Josh

Antworten:

2

Das Zertifikat ist nicht vertrauenswürdig, da das Ausstellerzertifikat unbekannt ist.

Angesichts des Google-Hosts ist es nicht sehr wahrscheinlich, dass der Host selbst die Fehlerursache ist.

Es hört sich so an, als ob es einen SSL-Proxy oder eine andere Form der Deep Packet Inspection im Netzwerk gibt.

Dies kann ein Schurkenagent oder ein legitimer Teil des Unternehmensnetzwerks sein.

Die Idee ist einfach genug: Auf jedem Client ist ein Stammzertifikat installiert, dessen privater Schlüssel dem Router oder Proxy bekannt ist. Der Proxy fungiert dann als "Mann in der Mitte" und entschlüsselt und verschlüsselt Daten auf den gesicherten Verbindungen. Auf diese Weise kann der Proxy den Inhalt von und zu externen Quellen, z. B. https-Sites, eingehend prüfen.

Einige mögen argumentieren, dass dies eine schlechte Sache ist, da der Proxy (und möglicherweise jeder, der Zugriff auf den Proxy hat) jetzt alle Daten sehen kann, von denen der Benutzer glaubt, dass sie durchgehend gesichert sind. Einige mögen argumentieren, dass dies eine gute Sache ist, da das Unternehmen Daten überprüfen und überprüfen und sich vor ihnen schützen kann, die das Netzwerk verlassen und in das Netzwerk gelangen, bevor es den Endpunkt erreicht.

Bei den anderen Benutzern treten möglicherweise nicht dieselben Symptome auf wie bei Ihnen, wenn die Proxy-Zertifikatquelle bereits als vertrauenswürdige Zertifizierungsstelle installiert ist, die Deep Packet-Überprüfung jedoch noch durchgeführt wird.

Es gibt viele Ressourcen im Internet, die sich mit diesem Thema befassen. Hier sind einige der ersten Treffer, die sich mit diesem Thema befassen.

http://cookbook.fortinet.com/why-you-should-use-ssl-inspection/

Und

https://en.wikipedia.org/wiki/Man-in-the-middle_attack

"Die Seite, die Sie erreicht haben, ist für das Surfen gesperrt!"

Angesichts der oben genannten Möglichkeiten würde ich vermuten, dass eine Firewall (oder der Proxy) Sie ebenfalls blockiert.

Niall
quelle