Firefox: це з'єднання ненадійне + За корпоративним брандмауером

14

Я бачив деякі подібні проблеми, розкриті в результатах Google щодо цього, але жодне не видається корпоративним.

Я постійно отримую екран "Це з'єднання ненадійне" кожен раз, коли я намагаюся увійти на захищений сайт ... наприклад, Gmail.

Це дуже дратує, бо іноді мені доводиться проходити процес додавання винятку два-три рази, перш ніж він остаточно впустить мене в Gmail.

Я за корпоративним брандмауером, проходжу через внутрішній проксі-сервер, щоб потрапити в Інтернет, тому для мене немає можливості оновити брандмауер ... тощо.

Хтось знає спосіб цього? Чи можна його просто відключити (і це безпечно)?

EDIT

Я знову відкрию це запитання з невеликою кількістю нової інформації.

Я використовую Google Chrome останнім часом до сьогодні, і одне, що я помітив, це те, що у мене ніколи не виникало цієї проблеми при використанні Chrome або Internet Explorer. Чи є щось таке, що мені потрібно робити вручну у FF?

firefox  security  ssl  certificate 
the_e
джерело

Відповіді:

18

Якщо дата або час у вашій системі не відповідають правилам, а проблема все ще не вирішена, спробуйте виконати наступне. Оскільки ця проблема виникає лише у вашому Firefox, але не в IE, перейдіть до захищеного сайту в IE та визначте, який сертифікат використовується, який буде піктограмою десь навколо рядка меню. Потім перейдіть до IE> Інструменти> Параметри Інтернету> Вміст> Сертифікати> Довірені органи кореневого сертифіката ( або, можливо, органи проміжних сертифікатів ), і знайдіть сертифікат. Знайшовши його, виберіть Експорт, щоб експортувати сертифікат у форматі за замовчуванням.

Тепер перейдіть до Firefox> Інструменти> Опції> Додатково> Шифрування> Переглянути сертифікати> Авторитети та знайдіть сертифікат (и) з подібною назвою. Якщо ви знайдете його, натисніть Експорт, щоб експортувати його резервну копію. Тепер імпортуйте в влада Firefox сертифікат, який ви експортували з IE. Вийдіть і перезапустіть Firefox. Перевірте, чи виправлена ​​проблема "ненадійне з'єднання". Якщо ні, за бажанням можна видалити імпортований сертифікат. Якщо виникають проблеми, імпортуйте назад в Firefox Authority оригінальний сертифікат Firefox, який ви створили.

Як тільки ви закінчите, і все працює добре, видаліть сертифіковані вами сертифікати, оскільки вони повинні зберігатися в безпеці і не повинні зберігатися як файли на вашому комп’ютері.

анон
джерело
1
Це працювало і для мене. Експортували чотири "сертифікати", які були під назвою моєї компанії в IE. Використовується формат ПКС №7. Потім у Firefox перейшов на сторінку "Авторитети" та імпортував усі чотири. Під час імпорту поставте прапорець у трьох полях, що дозволяють отримати всі дозволи для цих органів сертифікації.
камінь
FYI - Це рішення працює для нового PolyBrowser
гусей
1
Від @ User61893: Переконайтеся, що під час переходу на захищений сайт в IE перевірте наявність підтестів і визначте, який сертифікат використовується: 1) Клацніть замок в адресному рядку, щоб переглянути сертифікат, який використовується. 2) Натисніть "Переглянути сертифікати" у вікні, що з’явиться. 3) Відкрийте вкладку «Шлях до сертифіката». 4) Перевірте наявність суб-сертифікатів під оригінальним сертифікатом та перед захищеним сайтом. Мені потрібно було також встановити всі підсвідки, щоб Firefox працював.
fixer1234
1
Це було для нас точним рішенням - внутрішній корпоративний проксі-сервер SSL додав внутрішній ланцюжок сертифікатів для IE та Chrome, але вони не додали його до FF. Можливо, FF має власний магазин сертифікатів - тоді як Chrome / IE є спільним. Нам не довелося перезапускати FF, щоб побачити ефект. Sec_error_unknown_issuer зводить мене з горіхами , тому що влада не була помічена в FF.
SliverNinja - MSFT
"який буде піктограмою десь біля рядка меню", який просто показує сертифікат MITM сканера вірусу Avast, а не сертифікат MITM компанії.
ендоліт
7

Цілком імовірно, що причина, яку йому не довіряють, полягає в тому, що проксі діє як людина посередині, підміняючи власний сертифікат ssl у вашому браузері. Firefox не розпізнає орган, що підписує, тому він пропонує вам довіряти йому чи ні.

Тоді виникає питання: чи довіряєте ви своїм ІТ-департаментам компанії? Тому що вони зможуть прочитати вашу пошту, побачити ваші покупки, інформацію про кредитну карту тощо. Що б ви не робили в Інтернеті, зашифроване, не шифрується для них.

ansong
джерело
навіть якщо ви довіряєте їм не читати вашу пошту, чи довіряєте ви їм захищати незашифровану інформацію від хакерів?
ендоліт
3

Можливо, проксі-сервер вашої компанії робить атаку "Людина в середині" на всі з'єднання (хоча це насправді не атака в цьому випадку). FF не може визначити різницю між проксі-сервером вашої компанії та EVIL_GUY_ON_THE_INTERNET, що робить це, тому він справедливо попереджає вас.

У такому випадку ваш веб-переглядач неправильно налаштований: сертифікат, який використовується проксі вашої компанії, повинен бути встановлений у ваш браузер; тоді ФФ більше не буде скаржитися. Як бонус, якщо атака MITM відбудеться всередині вашої мережі (між вами та проксі), ви все одно отримаєте правильне попередження.

Щодо відключення попередження: я вважаю, що це можливо, але досить складно. Відключення не є безпечним, оскільки тоді всі зашифровані з'єднання стають вразливими до атак MITM. Викладене нами вище рішення зберігає безпеку (наскільки це можливо).

sleske
джерело
питання №2, тоді ... чи можна (через firefox) знайти, де цей серт. знаходиться?
the_e
@espais: Ні, не те, про що я знаю. Вам потрібно буде запитати свого sysadmin (який у першу чергу повинен правильно налаштувати ваш браузер).
sleske
чорт, я встановив FF самостійно, щоб уникнути використання IE ... дякую за відповіді всім!
the_e
Що робити, якщо справжня атака MITM відбувається поза мережею, або сайт викрадений і використовує неправдиві сертифікати? Чи вважає ваш браузер законним, оскільки він приймає сертифікат компанії?
ендоліт
@endolith: Це звучить як нове запитання. Чому б не запитати його як такого?
sleske
1

Можливо, це відбувається тому, що дата або час у вашій системі неправильні. Введіть Пуск> Виконати> cmd> дата / T, щоб перевірити дату системи. Введіть час / T, щоб перевірити системний час. Для встановлення системної дати чи часу командою є дата та час. Також переконайтесь, що ваш годинник знаходиться у правильному місцевому часовому поясі; і забезпечити його синхронізацію з сервером часу в Інтернеті time.nist.gov.

анон
джерело
1

Якщо ви стоїте за корпоративним брандмауером, чи використовуєте ви проксі-сервер? Деякі веб-проксі-сервери порушать автентифікацію SSL, оскільки вони намагаються проксі-з'єднання SSL, які не працюватимуть за дизайном.

Перевірте свої настройки проксі. Якщо можливо, вимкніть проксі і перейдіть безпосередньо.

гнусність
джерело
1

Я вирішив експортувати деякі сертифікати з IE та Maxton, а потім імпортувати їх у Firefox та перезапустити. Я не знаю чому, це єдиний спосіб я міг вирішити цю проблему після автоматичного оновлення Firefox до версії 33.

andrea8310
джерело
-1

Я використовую FF3.5.5 і отримую повідомлення. Це з'єднання не довіряється під
час з'єднання https щоразу після закриття FF та видалення всіх файлів cookie. FF виключає всі сертифікати та винятки, видаляючи всі файли cookie. Хтось подумав, що це гарна ідея. Повинен бути англійський вун.

франц
джерело
1
Це не те, що робить Firefox. Видалення файлів cookie позбудеться файлів cookie, а не вашого магазину cert. Я думаю, це може позбутися і тимчасових винятків.
Rory Alsop
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.