Deaktivieren Sie die SSL-Zertifikatüberprüfung in Ubuntu vollständig

11

Ich bin neu in Linux und lerne Linux unter Ubuntu 18.0401 LTS, das auf Oracle Virtualbox auf dem Unternehmenssystem installiert ist. Das Unternehmen verfügt über ein privates Proxy-Netzwerk. Alle Websites, die ich auf Ubuntu durchsuche, durchlaufen den Proxy und erhalten ein vom Unternehmen ausgestelltes SSL-Zertifikat. Wenn ich von Chrome / Firefox aus surfe, gibt es einen Fehler wie keine vertrauenswürdige Quelle. Wenn ich zu> Erweitern> Ausnahme hinzufügen gehe, kann ich diese bestimmte Website für einige Zeit durchsuchen und dann nach einiger Zeit wieder denselben Fehler (wahrscheinlich Änderungen der Zertifikatdetails). Im Browser kann ich zumindest nach solchen Bemühungen suchen, aber die Ubuntu-Software gibt nicht einmal eine solche Option und ich kann einfach keine Software herunterladen. Auch CLI apt-get funktioniert nicht. Kann jemand einen Weg finden, um so zu konfigurieren, dass wir das SSL-Validierungssystem systemweit vollständig umgehen? so etwas wie --disable SSL-Zertifikat-Validierung .. Damit ich mich nahtlos mit dem Internet verbinden kann? (Natürlich werden durch Proxy blockierte Websites weiterhin blockiert)

Vielen Dank im Voraus!

NK, Linux-Enthusiast

PS: Unten ist der Fehler auf Firefox;

"Ihre Verbindung ist nicht sicher Der Eigentümer von support.mozilla.org hat seine Website nicht ordnungsgemäß konfiguriert. Um Ihre Informationen vor Diebstahl zu schützen, hat Firefox keine Verbindung zu dieser Website hergestellt."

Nikhil Kadi
quelle
Schauen Sie hier: askubuntu.com/a/94861/783023- Ich denke, Sie müssen nur das Stammzertifikat Ihres Unternehmens (oder Ihres Unternehmensvertreters) installieren - dann sollte es Ihnen gut gehen. Beachten Sie, dass einige Apps wie Firefox über eigene Keystores verfügen, sodass auch die folgende Antwort gilt.
Robert Riedl
1
Es sollte wahrscheinlich für diejenigen, die mit der Sache vertraut sind, offensichtlich sein, aber ich werde es trotzdem sagen. Wenn Sie ein Stammzertifikat installieren, vertrauen Sie dem Eigentümer dieses Zertifikats vollständig. Dies bedeutet, dass der Eigentümer z. B. Ihre Verbindung in der Mitte managen und den gesamten https-Verkehr entschlüsseln kann, genau wie Ihr Browser Sie gewarnt hat, als Sie den Firmen-Proxy verwendet haben, ohne das Zertifikat installiert zu haben. Sie können dies wahrscheinlich nicht vermeiden, wenn es die IT-Richtlinie Ihres Arbeitgebers ist, dass Sie dessen Proxy verwenden müssen, aber Sie sollten sich dessen bewusst sein und vermeiden, etwas Persönliches (Bankgeschäfte, private Anmeldungen, ...) zu übertragen
Byte Commander
@ ByCommander, das ist sehr wahr. Wenn ich OP richtig interpretiere, ist er aufgrund des Proxy-Dienstes, der SSL bricht, derzeit (nicht böswillig) ein Mann in der Mitte. Wenn Sie SSL deaktivieren, sind Sie auch anfällig für Man-in-the-Middle-Angriffe.
Robert Riedl
Vielen Dank für Antworten Experten. Das Problem ist, dass das IT-Team mir kein Zertifikat gibt, da die virtuelle Box bereits nach so vielen Genehmigungen übergeben wurde. Sie werden sich nicht darum kümmern, weil ich Ubuntu zum Selbstlernen benutze und nichts für sie feststeckt.
Nikhil Kadi

Antworten:

44

Deaktivieren Sie die SSL-Zertifikatüberprüfung in Ubuntu vollständig

Glücklicherweise ist dies nicht wirklich möglich, außer dass die relevanten Anwendungen erneut kompiliert und die Zertifikatvalidierung im Code deaktiviert werden.

Der richtige Weg, um fortzufahren, besteht nicht darin, die Validierung zu deaktivieren, sondern das vom Proxy verwendete CA-Zertifikat als vertrauenswürdig hinzuzufügen. Auf diese Weise können Sie den Proxy ohne Warnungen verwenden, sind jedoch nicht anfällig für willkürliche Angriffe in der Mitte, wie Sie es tun würden, wenn Sie die gesamte Validierung deaktivieren würden.

Fragen Sie Ihre Netzwerkadministratoren nach dem richtigen CA-Zertifikat und installieren Sie es dann wie hier für Firefox beschrieben (obwohl diese spezielle Site für Windows ist, ist sie mit Firefox unter Linux identisch).

Steffen Ullrich
quelle
5

Der richtige Weg dazu besteht darin, die vom Proxy verwendeten CA-Zertifikate hinzuzufügen. Wenn sie häufig gedreht werden, kann dies tatsächlich ärgerlich werden. Gehen Sie wie folgt vor, um die Zertifikate so zu installieren, dass sie von den meisten Anwendungen verwendet werden (im Gegensatz zu Firefox, das einen eigenen Zertifikatspeicher verwendet):

  1. Beziehen Sie die Zertifikate im Base64-codierten X.509-Format.
    Eine einfache Möglichkeit , sie zu erhalten , ist durch Chrome über Settings, Advanced, Manage Certificatesauf einer IT - Managed / Auto-Aktualisierung System.
  2. Kopieren Sie sie nach /usr/local/share/ca-certificates
    (Optional können Sie einen neuen Unterordner erstellen)
  3. Wenn die Erweiterung nicht .crt lautet, benennen Sie die Dateien um.
  4. sudo update-ca-zertifikate

Wenn Sie diese Übung wiederholen, werden die Zertifikate möglicherweise nicht aktualisiert. Sie können dies umgehen, indem Sie zuerst ausführen.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

Dabei [certificate-name]stimmt der Dateiname (die Dateinamen) der Zertifikate ohne die ursprüngliche Erweiterung (.crt) überein.

HINWEIS: Unter Ubuntu 16.04 getestet, aber ich gehe davon aus, dass es sich unter 18.04 genauso verhält.

SensorSmith
quelle