¿Por qué Firefox (y solo Firefox) informa que mi conexión es insegura en varios sitios?

Question

¿Por qué Firefox (y solo Firefox) informa que mi conexión es insegura en varios sitios?

#1 de DKNUCKLES (76 votos)
#2 de Tensibai (13 votos)
#3 de Ansjovis86 (2 votos)

67

Después de instalar Firefox 54.0.1 en mi computadora portátil de trabajo, la primera página que veo me advierte que "Su conexión no es segura" al abrir https://www.mozilla.org/ .

_{"El propietario de Firefox ha configurado su sitio web de manera incorrecta"}

Después de navegar un poco más, me di cuenta de que Firefox no solo estaba informando errores para Mozilla.

Firefox está informando errores de seguridad de HTTPS para Google , Microsoft , Dropbox , GitHub , Wikipedia , LastPass , Netflix , Facebook , Twitter , Skype , WhatsApp , WolframAlpha , Amazon , LinkedIn , AutoHotke y , Yahoo , Imgur e incluso Stack Exchange .

Hay algunas cosas que vale la pena mencionar sobre estos errores.

Ni Google Chrome 59.0.3071.115 ni Internet Explorer 10.0.9200.22139 informan sobre problemas de seguridad en ninguno de los sitios web enumerados
Unos pocos sitios seleccionados se cargan en Firefox sin reportar ningún error de seguridad, incluyendo Discover , Visa , Mastercard , Chase , American Express , Citibank , Capital One , Bank of America , PayPal Stripe , Intuit , TreasuryDirect , iCloud * , Discord , y YouTube .
- ( De manera preocupante, la mayoría de los sitios que se cargan sin informar de errores de seguridad están relacionados con la banca y las finanzas en línea )
Puedo cargar página de soporte de Mozilla y Wells Fargo sin errores de seguridad, pero las páginas se muestran como texto sin imágenes ni formato

Vale la pena reiterar que estos errores de seguridad están ocurriendo en una computadora portátil emitida por el trabajo, lo que significa que mi empleador es lo más probable es que esté escaneando HTTPS tráfico .

Aunque el escaneo HTTPS puede explicar al menos parcialmente los errores de seguridad de HTTPS, la situación todavía me deja con algunas preguntas.

¿Por qué Firefox es el único navegador que informa estos errores de seguridad?
¿Por qué Firefox no informa errores de seguridad en sitios web bancarios y financieros?
¿Por qué algunas páginas no informan errores de seguridad, sino que solo se cargan como texto sin formato?

^{* Nota: Aunque iCloud no informó ningún error de seguridad, la página no pudo cargarse con un error de conexión .}

tls certificates man-in-the-middle firefox

pregunta Steven M. Vascellaro 20.07.2017 - 17:04

fuente

3 respuestas

13

¿Por qué Firefox es el único navegador que informa estos errores de seguridad?

Como ya se dijo, Firefox usa su propio almacén de Autoridad de Certificación, administrarlo desde el punto de vista de la empresa es difícil y generalmente no vale la pena cuando se permite Chrome.

¿Por qué Firefox no informa errores de seguridad en sitios web bancarios y financieros?

La inspección de HTTPS por un proxy transparente generalmente no está permitida por las leyes, ya que rompería la confidencialidad bancaria del usuario y generalmente se considera ilegal.

¿Por qué algunas páginas no informan errores de seguridad, sino que solo se cargan como texto sin formato?

Por lo general (por lo que vi) es porque la página principal está categorizada como 'no debe ser interceptada' como lo son los sitios financieros (como es el caso de Wells Fargo en la lista de bluecoat here ), pero las imágenes provienen de otro CDN, por lo que la intercepción se dispara en el CDN y las imágenes no se cargan porque el certificado de autoridad es desconocido para Firefox.

respondido por el Tensibai 20.07.2017 - 17:20

fuente

2

En mi caso, Avast estaba interfiriendo con la carga correcta del sitio en Firefox pero estaba bien en otros navegadores.

Desmarqué "escanear conexiones seguras" en la configuración de Web Shield y se resolvieron mis problemas.

respondido por el Ansjovis86 21.12.2018 - 12:31

fuente

Lea otras preguntas en las etiquetas tls certificates man-in-the-middle firefox

¿Cómo hace WhatsApp para enviar mensajes cifrados de extremo a extremo en notificaciones push? ¿Debo preocuparme por la nueva y extraña aplicación de iPhone que aparece después de la reparación?

score 76 · Accepted Answer

Hay mucho que desempaquetar, así que haré lo mejor que pueda aquí (en base a algunas suposiciones).

Firefox mantiene su propio almacén de certificados, lo cual es probablemente la razón por la que solo Firefox está lanzando estos errores. Tradicionalmente, SysAdmins emitirá certificados a través de la Política de grupo, que funciona tanto para Chrome como para IE / Edge, pero Firefox no confía en ello. Me imagino que su tráfico está siendo interceptado por un servidor proxy transparente que está inspeccionando su tráfico (tenga en cuenta que mirar la información del certificado revelará si este es un certificado que su trabajo ha eliminado).
Suponiendo de nuevo, pero su trabajo probablemente no no está filtrando el tráfico del sitio web financiero, probablemente para evitar cualquier responsabilidad potencial al hacerlo.
No tengo idea de por qué algunos se cargan como texto sin formato. Esto podría ser algo que ver con el proceso de proxy.

EDIT: As Arminius señaló de manera astuta , las páginas que se cargan como texto sin formato probablemente se deben a errores de certificado que ocurren con los recursos extraídos de dominios de terceros. Es probable que las imágenes y CSS no se carguen, ya que los errores de certificación de esos dominios impiden que se transmitan los recursos.