No puedo acceder a sitios web que usan HTTPS, ¡en lugar de eso, aparece el mensaje "su conexión no es privada"!

113

De repente, no pude acceder a los sitios web que utilizan HTTPS, por lo que me puse en contacto con mi proveedor de servicios y me pidieron que instale un certificado en el almacén Trusted Root Certificate Authorities. Pero algo no está bien: ¡instalar un certificado en cada dispositivo conectado a la misma red solo para poder acceder a sitios web que usan HTTPS es simplemente extraño! ¿Cómo puedo estar seguro de que este certificado es emitido por una CA de confianza?

Cuando intenté instalarlo, recibí el siguiente mensaje:

  

Advertencia: Si instala este certificado raíz, Windows confiará automáticamente en cualquier certificado emitido por esta CA. La instalación de un certificado con una huella digital no confirmada es un riesgo para la seguridad. Si hace clic en "Sí", reconoce este riesgo.

Aquí está la información del certificado:

  • Versión: V3
  • número de serie: 00 f8 ab 36 f3 84 31 05 39
  • firma algo: sha1RSA
  • hash de firma algo: sha1
  • Emisor: AISS, Internet, Internet, Beirut, Beirut, LB
  • Asunto: AISS, Internet, Internet, Beirut, Beirut, LB
  • Clave pública: RSA (1024 bits)

Es válido hasta el 2019.

Y, por cierto, estoy en el Líbano.

Volví a contactar a mi ISP y me dijeron que estaban usando algún tipo de acelerador para mejorar la velocidad, y necesita autenticación, por lo que eligieron usar un certificado en lugar de hacer que el usuario ingrese un nombre de usuario y contraseña cada vez que quieran acceder a sitios web que usan HTTPS. Y sugirieron que si no estoy de acuerdo con eso, me pondrían en una nueva piscina. Entonces, ¿qué debo hacer?

    
pregunta Tarek 02.02.2015 - 18:11
fuente

6 respuestas

126

Si bien no conozco los detalles específicos de su ISP, diría que es probable que lo que están haciendo aquí sea interceptar todo el tráfico que envía a través de Internet. Para hacer eso (sin que recibas mensajes de error cada vez que visites un sitio cifrado HTTPS), necesitarán instalar un certificado raíz, que es lo que mencionas en tu publicación.

Deben hacer esto ya que lo que generalmente implica este tipo de intercepción es crear su propio certificado para cada sitio que visite. así, por ejemplo, si visita enlace , deben tener un certificado que su navegador considere válido para esa conexión (que es el emitido por un Certificado de confianza). Autoridad, ya sea una provista con el navegador o una que instale manualmente).

Desde su perspectiva, el problema aquí es que pueden ver todo su tráfico de Internet, incluidos los nombres de usuario / contraseñas / detalles de la tarjeta de crédito. Entonces, si quieren, pueden ver esa información. Además, si tienen una infracción de seguridad, es posible que otras personas tengan acceso a esa información. Además, también pueden obtener acceso a cualquier cuenta a la que acceda a través de esta conexión a Internet (por ejemplo, cuentas de correo electrónico). Finalmente, la instalación de este certificado raíz les permite modificar su tráfico de Internet sin ser detectado.

Lo que recomendaría es que consulte con ellos exactamente por qué necesitan ver los detalles de su tráfico cifrado (por ejemplo, es un requisito legal para su país) y si no está 100% satisfecho con la respuesta, obtener un nuevo ISP. Otra posibilidad es usar una VPN y canalizar todo su tráfico a través de la VPN. Si no está satisfecho con que su ISP obtenga este acceso a sus conexiones HTTPS, no instale el certificado raíz que le proporcionaron.

    
respondido por el Rоry McCune 02.02.2015 - 19:49
fuente
50

Esta es una solicitud para entregarles toda su privacidad y seguridad.

Es un problema técnico muy simple: han bloqueado las conexiones HTTPS cifradas y seguras. "Rehabilitarlo" instalando su certificado ahora le permitirá usar conexiones cifradas y "seguras", pero le dará a su ISP acceso completo para ver sus datos en línea, modificar todo lo que descargue (incluida la inserción de puertas traseras o malware en cualquier software descargado), modifique o filtre todo lo que cargue y obtenga todas las credenciales de acceso en línea (contraseñas, cookies, otros tokens de seguridad) que usa a través de HTTPS.

Esto no es simplemente un riesgo teórico potencial. De hecho, debe esperar que ya estén haciendo algo o todo esto, es la única razón práctica por la que ponen el esfuerzo de bloquear y requieren su certificado en primer lugar.

Solo si desea tener esta conexión a pesar de los problemas mencionados anteriormente, entonces puede aceptar su certificado. Una buena VPN pagada puede ser una solución, sin embargo, es posible que también bloqueen las VPN; Es posible que tenga que elegir entre una conexión supervisada e insegura controlada por otra persona y ninguna conexión.

    
respondido por el Peteris 03.02.2015 - 04:58
fuente
15

En efecto, su ISP está leyendo todo su correo.

Piense en su conexión a Internet como una serie de cartas enviadas por Pony Express. El error que está viendo es que su navegador se queja de que alguien abrió su correo y lo volvió a sellar con el sello de cera incorrecto en lugar del esperado, por ejemplo, el sello de cera de Google.

Lo que tu ISP te está diciendo que hagas es volver a entrenar tu navegador para tratar el sello ISP como más digno de confianza que el sello de Google.

El error es correcto. Le está diciendo que su ISP está leyendo su correo. No hagas lo que dicen. Cambia tu ISP ahora.

    
respondido por el Aron 03.02.2015 - 10:46
fuente
8

Estoy de acuerdo en que esto suena muy poco fiable, pero podría tener una idea que podría ayudar, solo puedo suponer que está usando los servidores DNS de su ISP, y supongo que está utilizando un enrutador. ¿Por qué no simplemente cambiar la dirección IP de su servidor DNS externo a algo como Googles abre servidores DNS 8.8.8.8 y 8.8.4.4. Si eso detiene el mensaje de error y suponiendo que NO ha instalado el certificado ISP, entonces sabe que el problema está resuelto. Es muy probable que así sea como controlan el tráfico, muchas personas no saben cómo cambiar manualmente sus servidores DNS y todos necesitan usar DNS para ir a un sitio web, por lo que esta idea podría ayudar.

Además, podría ir con un servicio de VPN privado como enlace , creo que su centro de datos en Texas es excelente, pero dependiendo de dónde Es posible que le guste uno diferente, y proporcionan un cifrado de extremo a extremo, por lo que también podría ayudar. Todo lo dicho, ir a un nuevo ISP es la mejor opción, la única forma en que el ISP va a aprender, será cuando vean a sus clientes irse a la competencia.

Buena suerte

    
respondido por el Frank R 06.02.2015 - 01:28
fuente
4

He hecho algunas investigaciones sobre la Ley de Regulación de Internet del Líbano. Básicamente, su ministro de información, Walid Al-Daouq, propuso una ley en 2012 (que no lo hizo) que hubiera puesto mucho énfasis en la libertad de expresión en el Líbano.

La ley se ha detenido desde entonces, pero es posible que su ISP haya estado bajo la presión del gobierno para monitorear el tráfico de Internet a escala nacional para encontrar personas que amenazan la seguridad nacional. La ley libanesa tiene censura para los asuntos que afectan la seguridad nacional, por lo que no es exagerado suponer que pedirán a los ISP que supervisen todas las formas de tráfico.

Es posible que también hayas oído hablar de Mia Khalifa. Recientemente fue elegida como la "estrella porno número 1", y como ella es del Líbano, el gobierno no está contento con eso. Su popularidad podría tener algo que ver con la reciente carrera por el monitoreo.

    
respondido por el Nzall 07.02.2015 - 00:46
fuente
2

Si lo han hecho, dependiendo de su región, esto puede considerarse como una violación de los derechos humanos bajo el "derecho a la vida privada".

El error que está recibiendo es en realidad un problema común.

Con quienquiera que haya hablado desde su ISP puede que no sepa de qué está hablando y simplemente le evitó pedirle que instale certificados.

Desde que recibió este error, ¿ha intentado mirar el reloj de su computadora? Si no se configura correctamente, el tiempo de los certificados (que se establece de acuerdo con el tiempo de la autoridad del certificado) no será el mismo en sus máquinas, por lo que se le preguntará con un mensaje como "su tráfico no es seguro".

No permitas simplemente los certificados, ya que esto no sirve para nada y, si no sabes lo que estás haciendo, ¡puedes cometer errores que te costarán!

Es el trabajo de una autoridad de certificación, como Verisign, verificarlo y todo lo que necesita hacer es asegurarse de que sus sistemas no estén comprometidos y que configure su reloj.

    
respondido por el Rio Hazuki 03.02.2015 - 11:18
fuente

Lea otras preguntas en las etiquetas