Випуск SSL-сертифіката для Firefox, Ubuntu в мережі Windows за проксі

Моя проблема: сайти з підтримкою SSL (HTTPS) не відображаються належним чином у моєму браузері Firefox. Команда мережі в офісі каже, що проблема полягає в тому, що проксі-сервер не в змозі правильно ідентифікувати мою систему, а значить, обмін сертифікатами на проксі-сервері не працює як слід. Сайти HTTPS, такі як банківські сайти, відображаються належним чином. Здається, ці сайти обходять проксі, щоб запобігти розшифровці-шифруванню запитів. Команда мережі надала мені файл сертифікату (.p12) для імпорту у Firefox, але це не допомагає.

Ця проблема виникає лише в системах Linux. Я записав правильне доменне ім’я у файл smb.conf, щоб мати свою систему в домені, але це теж не допомагає мені.

Налаштування: Я перебуваю на машині Ubuntu 11.10 і використовую браузер Firefox 14. Я в мережі Windows в офісі, за проксі-сервером.

Будь-яка інформація або ведуча будуть дуже вдячні.

Той факт, що ви отримуєте інший сертифікат за цим проксі-сервером у цій мережі та без цього проксі, схоже, свідчить про те, що це проксі-інспектор, що перевіряє SSL (або "проксі-сервер MITM").

Проксі-сервер, подібний до цього, може заглянути в зашифрований трафік SSL / TLS, видаючи себе за цільовий сервер. Вони роблять це, генеруючи власний сертифікат, замінюючи сертифікат справжнього сервера. Такий сертифікат видається ЦС, вбудованим в проксі-сервер (який може бути в змозі динамічно генерувати сертифікат). Такі сертифікати розпізнаються робочими станціями в межах мережі компанії (або подібними, де б не було встановлено проксі-сервер), оскільки ці машини були налаштовані довіряти сертифікату CA проксі-сервера додатково (або замість цього) списку сертифікатів CA за замовчуванням. надається з ОС або браузерами.

(Ви можете бачити це як "законну атаку MITM", яка насправді не є атакою, оскільки довіра до цього додаткового сертифіката CA повинна бути схвалена місцевими розробниками політики та створена системними адміністраторами.)

Цілком ймовірно, що встановлення цього сертифіката CA було виконано вашою командою sysadmin на машинах Windows, але ваша машина Ubuntu може бути залишена (дуже ймовірно, якщо ви її встановили самостійно). Йдеться не про те, щоб проксі-сервер не міг правильно ідентифікувати вашу систему; швидше це ваша система, яка не налаштована на довіру вашому проксі-серверу.

Вам потрібно буде встановити цей сертифікат CA самостійно на своєму пристрої та у веб-переглядачі. Ви можете попросити свою мережеву команду про цей сертифікат CA або ви зможете самостійно експортувати його з вікна Windows: перегляньте сертифікат емітента будь-якого веб-сайту, який ви відвідуєте, з машини, де працює з'єднання (як правило, доступне з чимось на зразок "переглянути деталі", залежно від браузера, який ви там використовуєте), експортуйте його (PEM / Base-64) та імпортуйте на вашу машину Linux.

Вам потрібно буде імпортувати його у Firefox як довірену владу (Параметри / Налаштування -> Додатково -> Шифрування -> Переглянути сертифікати -> Авторитети -> Імпортувати ... і позначити "довірити цьому сертифікату CA" для виявлення веб-сайтів). Інші програми мають різні сховища сертифікатів CA: може бути корисним зробити і копію /etc/ssl/certs/.

Звичайно, результат полягає в тому, що той, хто відповідає за цей проксі-сервер, зможе переглянути трафік, який ви обмінюєте, на будь-якому веб-сайті HTTPS, який ви використовуєте з цієї мережі, але це вже так з будь-якої машини Windows, налаштованої це так чи інакше.