Mi empleador ha configurado lo que llaman "descifrado SSL" para el acceso a Internet desde la empresa. Creo que esto es proporcionado por un dispositivo f5. Han instalado un certificado raíz de confianza en todos los dispositivos corporativos y lo están utilizando para finalizar los https salientes, estableciendo su propia conexión https al servidor externo, interceptando todos los datos en texto sin formato y volviéndolos a cifrar utilizando un certificado falso firmado por su reemplazo. certificado raíz Así que, el hombre en el medio todo.
Puedo ver que esta intercepción está ocurriendo al ver la ruta de certificación en mi navegador, obtengo algo como:
+- Acme Corporation Root CA
|
+--+- *
|
+--+- www.letsencrypt.org
Lo anterior es cierto tanto para Internet Explorer 11 como para Chrome 65. Sin embargo, cuando pruebo Firefox 59, veo la siguiente ruta de certificación:
+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
|
+--+- www.letsencrypt.org
Lo que entiendo de esto es que la conexión de Firefox no se ha interceptado y descifrado. (Si he llegado a una conclusión errónea aquí, sería útil saberlo).
Firefox proporciona, bajo Detalles técnicos, la siguiente información:
Conexión encriptada (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, claves de 256 bits, TLS 1.2)
No puedo encontrar una manera de ver qué versión de TLS usa IE y Chrome.
Firefox no muestra ningún certificado raíz corporativo instalado en su lista de certificados de confianza (ya que no utiliza el almacén de certificados de Windows). Además, la opción security.enterprise_roots.enabled
es false
.
Mi pregunta es, ¿por qué y cómo Firefox evita esto? ¿Firefox me está mintiendo y la conexión está siendo interceptada de alguna manera? ¿Está utilizando una versión diferente de TLS o un conjunto de cifrado diferente que el dispositivo f5 no puede manejar?
Tenga en cuenta que he leído ¿Cómo pueden los usuarios finales detectar intentos maliciosos de falsificación de SSL cuando la red ya tiene un proxy SSL autorizado? que describe una situación similar pero que no fue realmente esclarecedor. También he visto el Certificate Patrol , pero eso no es compatible con Firefox Quantum . (¿Hay algún reemplazo que funcione con Firefox moderno?)