Obtención de certificados SSL autofirmados para todas las conexiones https realizadas desde algunas instalaciones

7

Contexto:
Actualmente estoy trabajando como expatriado para mi empresa en un país donde Internet es notablemente indigno de confianza. Llegó a los titulares hace unos meses por robar contraseñas de cuentas de Facebook, Twitter y Gmail.

Hubo una revolución en enero y se supone que las cosas han mejorado.

Y de hecho lo han hecho, ya que cuando me conecto a Internet desde mi casa usando una de las conexiones 3G HSPD del proveedor local, las cosas son mucho más suaves (pero aún así, en general, como 403 mensajes sistemáticos a veces = > goto; reiniciar el módem) .

Problema
Pero ...
Siempre hay un pero ...
Sin embargo, cuando me conecto desde las instalaciones del cliente, entre otras cosas extrañas 1 , no se reconoce ningún certificado SSL (sso, gmail de mi empresa).

Cuando intento conectarme a través de https, mi navegador muestra una página de advertencia para darme la oportunidad de validar manualmente el certificado.

www.google.com uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
(Error code: sec_error_ca_cert_invalid)

Preguntas
1. ¿Qué está pasando aquí?
2. ¿Existe algún riesgo en la aceptación manual de estos certificados? 3. ¿Es probable que esta sea también la razón por la que ya no puedo acceder a la VPN de Cisco de mi empresa (puedo hacer ping a la dirección del servidor VPN público pero el tiempo de espera del cliente VPN de Cisco)?

Nota 1: los administradores de la red también han prohibido el acceso a Facebook y cada vez que se conecta a una página (por ejemplo, medios de comunicación) que tiene un enlace a Facebook, el navegador muestra un cuadro de diálogo que le pregunta qué desea hacer con el like.php . Probablemente el tipo MIME incorrecto en la respuesta. NB: No tengo una cuenta de Facebook para empezar.     
pregunta Alain Pannetier 13.05.2011 - 13:09
fuente

2 respuestas

14

1. ¿Qué está pasando aquí?

Google.com no utiliza un certificado autofirmado. Lo más probable es que todo el tráfico esté pasando por un proxy con reconocimiento ssl (existen dispositivos comerciales que realizan este tipo de trabajo), que intercepta y maneja las conexiones HTTPS (en otras palabras, realiza un ataque de hombre en el medio). Se hace pasar por google.com, por ejemplo: si le sirve google.com bajo el certificado original, no podrá ver los detalles del tráfico de la conexión encriptada, por lo que utiliza un certificado autofirmado para la parte de usted a la proxy, descifra el tráfico y, a continuación, lo vuelve a cifrar con el certificado correcto de google y lo reenvía a google.

2. ¿Hay algún riesgo en forma manual     ¿Aceptando estos certificados?

¿Está haciendo o enviando algo que no quiere que descubra quienquiera que esté operando el proxy? Si es así, hay. Los operadores de proxy pueden ver y cambiar todo : contraseñas, nombres de usuario, números de tarjetas de crédito, cualquier cosa. Lo que está sucediendo aquí es que todas sus conexiones supuestamente encriptadas son en realidad conexiones de texto simple y tienen el mismo grado de seguridad que ellas.

3. ¿Es probable que esta sea también la razón?     ¿Por qué no puedo acceder a mi empresa?     Cisco VPN más (puedo hacer ping al     dirección del servidor VPN público, pero el     El tiempo de espera del cliente VPN de Cisco).

Sí, si también intercepta conexiones VPN y trata de mitigarlas, no podrá conectarse porque la autenticación mutua fallará.

Finalmente, te sugiero que uses esta extensión de Firefox: (llamada Perspectivas) enlace

Está diseñado específicamente para combatir problemas como ese y otros: le permite monitorear si un sitio que visita a menudo ha cambiado su certificado, para que sepa que está ocurriendo algo sospechoso.

    
respondido por el john 13.05.2011 - 13:25
fuente
4

Lamento escuchar eso. Para ver otro ejemplo de esto, vea esta historia de la EFF: Un hombre-en-el en curso El medio ataque a la versión HTTPS de Facebook en Siria pone a los usuarios en riesgo

Un remedio que sugieren es usar Tor . Pero, por supuesto, su proveedor de red (como los sirios) también puede bloquear a Tor, en cuyo caso sus opciones son obtener otro ISP o ser completamente prudentes en el uso de su actual.

    
respondido por el nealmcb 13.05.2011 - 23:11
fuente

Lea otras preguntas en las etiquetas