¿Por qué / cómo Firefox omite el descifrado SSL de mi empleador?

Navega tus respuestas
5

Mi empleador ha configurado lo que llaman "descifrado SSL" para el acceso a Internet desde la empresa. Creo que esto es proporcionado por un dispositivo f5. Han instalado un certificado raíz de confianza en todos los dispositivos corporativos y lo están utilizando para finalizar los https salientes, estableciendo su propia conexión https al servidor externo, interceptando todos los datos en texto sin formato y volviéndolos a cifrar utilizando un certificado falso firmado por su reemplazo. certificado raíz Así que, el hombre en el medio todo.

Puedo ver que esta intercepción está ocurriendo al ver la ruta de certificación en mi navegador, obtengo algo como: 

+- Acme Corporation Root CA
|
+--+- *
   |
   +--+- www.letsencrypt.org

Lo anterior es cierto tanto para Internet Explorer 11 como para Chrome 65. Sin embargo, cuando pruebo Firefox 59, veo la siguiente ruta de certificación: 

+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
   |
   +--+- www.letsencrypt.org

Lo que entiendo de esto es que la conexión de Firefox no se ha interceptado y descifrado. (Si he llegado a una conclusión errónea aquí, sería útil saberlo).

Firefox proporciona, bajo Detalles técnicos, la siguiente información:

  

Conexión encriptada (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, claves de 256 bits, TLS 1.2)

No puedo encontrar una manera de ver qué versión de TLS usa IE y Chrome.

Firefox no muestra ningún certificado raíz corporativo instalado en su lista de certificados de confianza (ya que no utiliza el almacén de certificados de Windows). Además, la opción security.enterprise_roots.enabled es false .

Mi pregunta es, ¿por qué y cómo Firefox evita esto? ¿Firefox me está mintiendo y la conexión está siendo interceptada de alguna manera? ¿Está utilizando una versión diferente de TLS o un conjunto de cifrado diferente que el dispositivo f5 no puede manejar?

Tenga en cuenta que he leído ¿Cómo pueden los usuarios finales detectar intentos maliciosos de falsificación de SSL cuando la red ya tiene un proxy SSL autorizado? que describe una situación similar pero que no fue realmente esclarecedor. También he visto el Certificate Patrol , pero eso no es compatible con Firefox Quantum . (¿Hay algún reemplazo que funcione con Firefox moderno?)

    
pregunta Whitewash 05.04.2018 - 23:58
fuente

2 respuestas

10

En realidad, es bastante simple, es su empleador el que no ha asegurado su red correctamente. Supongo que agregan una configuración de proxy del sistema o configuraron los otros navegadores para usar su proxy de intercepción, y la intercepción solo ocurre cuando usted está usando su proxy, pero no pusieron un firewall de red para bloquear el tráfico que no pasa. el proxy.

    
respondido por el Lie Ryan 06.04.2018 - 01:25
fuente
0

Firefox usa su propio almacenamiento de certificados, separado del almacenamiento que usa su sistema operativo. La mayoría de los otros navegadores utilizan el sistema uno, que puede leer en esta respuesta. Puede leer sobre la política de certificados de Mozilla en su sitio web aquí , siendo la parte más relevante:

  

Al distribuir versiones binarias y de código fuente de Firefox, Thunderbird y otros productos de software relacionados con Mozilla, Mozilla incluye con dicho software un conjunto de certificados raíz X.509v3 para varias Autoridades de Certificación (CA).

Mozilla también tiene una herramienta llamada certutil para modificar la base de datos.

Relacionado: esta pregunta

    
respondido por el JonRB 06.04.2018 - 00:48
fuente

Lea otras preguntas en las etiquetas

TLS en la capa 4 PERO 802.1X EAP-TLS en la capa 2? Como "Jefe de TI" es razonable no tener acceso al correo electrónico o la administración de copias de seguridad, ya que podría contener información confidencial