Domanda:
Non riesco ad accedere a siti web che utilizzano HTTPS, invece ricevo il messaggio "la tua connessione non è privata"!
Tarek
2015-02-02 23:11:03 UTC
view on stackexchange narkive permalink

Mi sono trovato improvvisamente impossibilitato ad accedere ai siti web che utilizzano HTTPS, quindi ho contattato il mio fornitore di servizi e mi hanno chiesto di installare un certificato nell'archivio delle autorità di certificazione radice attendibili. Ma qualcosa non va: installare un certificato su ogni dispositivo connesso alla stessa rete solo per poter accedere a siti web che utilizzano HTTPS è semplicemente strano! Come posso essere sicuro che questo certificato sia emesso da una CA attendibile?

Quando ho provato a installarlo, ho ricevuto il seguente messaggio:

Attenzione: Se installi questo certificato radice, Windows considererà automaticamente qualsiasi certificato emesso da questa CA. L'installazione di un certificato con un'identificazione personale non confermata è un rischio per la sicurezza. Se fai clic su "Sì", riconosci questo rischio.

Ecco le informazioni sul certificato:

  • Versione: V3
  • Numero di serie : 00 f8 ab 36 f3 84 31 05 39
  • Algo firma: sha1RSA
  • Algo hash firma: sha1
  • Emittente: ISSA, Internet, Internet, Beirut, Beirut, LB
  • Oggetto: ISSA, Internet, Internet, Beirut, Beirut, LB
  • Chiave pubblica: RSA (1024 bit)

È valido fino al 2019.

A proposito, sono in Libano.

Ho contattato di nuovo il mio ISP e mi hanno detto che stanno utilizzando una sorta di acceleratore per migliorare la velocità e necessita di autenticazione, quindi hanno scelto di utilizzare un certificato invece di far immettere un nome utente e una password ogni volta che desiderano accedere a siti Web che utilizzano HTTPS. E hanno suggerito che se non mi andava bene, mi avrebbero messo in una nuova piscina. Allora cosa dovrei fare?

Sembra un po 'rischioso. Come se il tuo ISP facesse da intermediario, il tuo HTTPS era pericoloso. Quale paese / ISP? Potete fornirci i dettagli del Cert?
possibile duplicato di [Perché firefox mostra che alcune connessioni non sono sicure?] (http://security.stackexchange.com/questions/23095/why-firefox-shows-some-connections-are-not-secure)
sì - ISP sta facendo MITM
Whoa, è spaventoso. In parole povere, il tuo ISP ti chiede di installare una backdoor sul tuo computer in modo che possano monitorare e / o modificare il tuo traffico web per siti sicuri (HTTPS). Se installi questo certificato, il tuo ISP può leggere tutte le informazioni che invii su Internet su siti protetti. Nulla. Ciò include password, numeri di conto bancario, qualunque cosa. Tieni presente che per il traffico normale e non protetto (HTTP), hanno già questa capacità a meno che tu non usi una VPN.
Quello che ti ha detto il tuo ISP è solo una mezza verità! Sta nascondendo il fatto che per accelerare la tua connessione Internet, utilizzerà il certificato per decriptare tutto il tuo traffico protetto, leggerlo per comprimerlo. Questo può (ora) essere fatto con buone intenzioni (per risparmiare un po 'di soldi all'ISP nell'infrastruttura), ma questo significa che stai aprendo ampiamente il tuo sistema e i tuoi dati privati ​​a una serie di attacchi e possibili opzioni per vendere i tuoi dati privati
I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/20841/discussion-on-question-by-tarek-i-cant-access-websites-that-use-https-instead) .
Non è consentito rispondere ... Volevo solo aggiungere che alcuni ISP lo fanno senza cattive intenzioni. Qualche tempo fa avevo una chiavetta UMTS da O2 (Germania). Per consentire una "buona esperienza di navigazione" hanno intercettato tutto il mio traffico per ricodificare tutte le immagini a una qualità inferiore per risparmiare larghezza di banda. È possibile che il tuo ISP stia provando qualcosa di simile. Prova a contattarli per dire loro che non desideri questo servizio.
Nota: è normale che le reti aziendali facciano esattamente la stessa cosa, intercettando tutto il traffico tramite un certificato radice preinstallato sui dispositivi aziendali. Dovresti affrontare gli stessi problemi quando introduci il tuo dispositivo su una rete del genere, ma gli utenti regolari non ne sarebbero consapevoli.
Oltre ai punti sulla privacy e sulla sicurezza menzionati nelle risposte e in base al paese, potresti voler indicare al tuo ISP che ora sarà responsabile di eventuali problemi relativi alla tua navigazione HTTPS. Ciò include transazioni finanziarie e relative alla salute, che possono costare loro miliardi. Assicurati di conservare una copia legalmente ricevibile di tale avvertimento (e fai notare nella tua lettera che manterrai quella copia).
Potrebbe anche essere che l'ISP voglia iniettare Javascript in tutto il traffico invece del solo HTTP, per scopi di monitoraggio e pubblicità. L'ISP negli Stati Uniti lo sta facendo. Altrettanto pessimo IMHO
"[Il mio ISP] mi ha detto che ... ha bisogno di autenticazione, quindi hanno scelto di utilizzare un certificato invece di far inserire all'utente un nome utente e una password ogni volta che desidera accedere a siti web che utilizzano HTTPS." - questa è una palese bugia, ma è il tipo di bugia che potresti dire per placare gli utenti che vogliono sapere cosa stai facendo ma non lo capiranno (non * necessariamente * una bugia dannosa).
Ogni acceleratore legittimo di cui sono a conoscenza non accelera HTTPS proprio a causa della mancanza di sicurezza che richiede. Di solito non è un grosso problema, poiché la maggior parte dei siti HTTPS non dipende dalla velocità. Il principale di cui sono a conoscenza è YouTube, ma la maggior parte degli acceleratori non gestisce i video e, anche se lo fanno, Google è abbastanza bravo da avere un modo per disattivare HTTPS per YouTube.
@example: Ovviamente O2 è _l'unico provider_ che è diventato famoso all'inizio degli anni 2000 per essere dannoso su larga scala (e non essere intelligente al riguardo). Ricorda quando questo ragazzo ha presentato un reclamo perché ha addebitato due volte ciascuna delle sue chiamate al cellulare. Si è scoperto che avevano inoltrato le chiamate di centinaia di migliaia di clienti _per mesi_ al BND e addebitato ai clienti l'inoltro (solo praticamente nessuno guarda le loro fatture, quindi ci è voluto un po 'prima che qualcuno se ne accorgesse).
Anche con le migliori intenzioni, essere una CA affidabile è un GRANDE affare.Vedi [questa risposta] (http://security.stackexchange.com/a/24906/132456) per tutte le misure di sicurezza che dovrebbero adottare.Il tuo ISP certamente non lo sta facendo.
Sei risposte:
#1
+127
Rory McCune
2015-02-03 00:49:19 UTC
view on stackexchange narkive permalink

Anche se non conosco le specifiche del tuo ISP, direi che è probabile che quello che stanno facendo qui sia intercettare tutto il traffico che invii su Internet. Per fare ciò (senza che tu riceva messaggi di errore ogni volta che visiti un sito crittografato HTTPS), dovrebbero installare un certificato radice, che è ciò che hai menzionato nel tuo post.

Devono farlo poiché ciò che questo tipo di intercettazione di solito comporta è creare il proprio certificato per ogni sito che visiti. quindi, ad esempio, se visiti https://www.amazon.com, devono disporre di un certificato che il tuo browser considera valido per quella connessione (che è emesso da un'autorità di certificazione attendibile, fornito con il browser o uno che installi manualmente).

Dal tuo punto di vista, il problema qui è che possono vedere tutto il tuo traffico Internet inclusi nomi utente / password / dettagli della carta di credito. Quindi, se lo desiderano, possono consultare quelle informazioni. Inoltre, se hanno una violazione della sicurezza, è possibile che altre persone possano avere accesso a tali informazioni. Inoltre, possono anche avere accesso a qualsiasi account a cui accedi tramite questa connessione Internet (ad esempio, account di posta elettronica). Infine, l'installazione di questo certificato di root consente loro di modificare il tuo traffico Internet senza essere rilevati.

Quello che ti consiglio è di interrogare con loro esattamente il motivo per cui hanno bisogno di vedere i dettagli del tuo traffico crittografato (ad esempio, è questo un requisito legale per il tuo paese) e se non sei soddisfatto al 100% della risposta, richiedi un nuovo ISP. Un'altra possibilità è utilizzare una VPN e incanalare tutto il tuo traffico attraverso la VPN. Se non sei soddisfatto del fatto che il tuo ISP ottenga questo accesso alle tue connessioni HTTPS, non installare il certificato radice che ti hanno fornito.

Tieni presente che anche se non installi il certificato radice, questo tipo di comportamento del tuo ISP probabilmente indica che stanno già monitorando il tuo traffico HTTP non crittografato (anche se non possono monitorare il tuo traffico HTTPS senza che tu installi il certificato o ignori il avvisi di sicurezza dal tuo browser).
Inoltre, sembra che ti * richiedano * di prendere il loro certificato man-in-the-middle bloccando tutto il traffico SSL finché non lo fai. Questo è SERIAMENTE invasivo. Andrei a fare acquisti per un altro fornitore ORA. Oh, e vai a prendere TOR se / finché puoi ancora.
Non dimenticare di controllare i cheksum di TOR per essere sicuro che non lo abbiano intercettato anche loro
@Freedom: Confrontare cosa? I checksum pubblicati sui siti HTTP potrebbero essere stati manomessi, quelli su HTTPS sono bloccati. Se OP pubblica un indirizzo postale, qualcuno potrebbe inviargli un checksum, ma quel qualcuno potrebbe ancora essere l'ISP, il governo, i servizi segreti o qualsiasi altra cosa sotto mentite spoglie. È difficile creare fiducia senza alcun tipo di ancoraggio della fiducia. Un numero sufficiente di persone diverse che forniscono le stesse impronte digitali in un numero sufficiente di forum diversi utilizzando protocolli abbastanza diversi (HTTP, IRC, News, Mail) possono rendere meno probabile la manomissione coerente, ma puoi mai essere certo, a meno di leggere tutte le fonti TOR da solo?
@Freedom Ci sono molti modi per "trovare e sostituire", a livello di proxy MITM, tutti gli hash validi su Internet, con quelli del pacchetto contaminato.
@Commenters, si prega di astenersi dall'avere discussioni estese nei commenti, specialmente quelli che sono solo tangenzialmente correlati all'argomento. Per favore usa [chat] per qualsiasi altra cosa.
Uno dei punti più importanti: ** Anche se il tuo ISP è affidabile ** sei a rischio che qualcuno si impossessi della chiave privata di questo certificato. Se l'hai preso da un tipo losco sulla loro linea di assistenza, forse l'ha scambiato con il suo certificato e ha provato una truffa, o qualcuno ha hackerato il loro server di compressione ...
Consiglio VIVAMENTE a chiunque stia prendendo in considerazione i checksum di verificare TOR, o qualsiasi altro binario, per motivi di sicurezza riconsiderare e verificare invece la firma digitale del binario fornito dai creatori. TOR fornisce un [tutorial molto utile] (https://www.torproject.org/docs/verifying-signatures.html) su come verificare la sua firma.
@Roy Potresti pubblicare l'impronta digitale del certificato del certificato che ti hanno chiesto di installare? Grazie.
@EricLloyd: Non è corretto. L'ISP non sta bloccando tutto il traffico SSL; è solo che hanno già avviato MITM-ing, quindi il * browser * sta bloccando il traffico (poiché non riconosce il certificato). Non affermerò che questo sia "ragionevole", perché l'intera cosa non è ragionevole, ma il MITM non ha modo di rilevare se un dato utente ha ancora installato il certificato di root, quindi questo aspetto specifico di esso non è un comportamento scorretto dell'ISP . (Ma avrebbero dovuto attivare l'intera operazione.)
@ruakh, Punto ben ripreso. Quando l'OP ha detto che non potevano visitare i siti https, ho pensato che fosse un blocco totale, senza alcun modo per aggirarlo. Il mio thinko. :-)
Sono d'accordo con questa spiegazione. Suona un po 'come ha fatto Nokia con Ovi, che era presumibilmente un proxy mobile legittimo per migliorare le prestazioni di rete - https://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/
A che serve eseguire il tunneling della tua comunicazione tramite VPN dato che il tuo ISP può intercettare il tuo tunnel VPN, scartarlo e intercettare i contenuti in modo ricorsivo?E se non riconoscono il protocollo VPN, possono sempre spegnerlo.
@JanDvorak come potrebbe l'ISP intercettare il traffico VPN senza le chiavi per farlo?Ovviamente l'ISP può bloccare tutto ciò che desidera, anche se dovrebbe riconoscere il traffico come VPN e bloccarlo.Lo scopo dell'utilizzo di una VPN è evitare l'intercettazione sulla rete ISP locale in cui si utilizzano tecniche di intercettazione standard.
#2
+51
Peteris
2015-02-03 09:58:21 UTC
view on stackexchange narkive permalink

Questa è una richiesta per cedere loro tutta la tua privacy e sicurezza.


È un problema tecnico molto semplice: hanno bloccato connessioni HTTPS crittografate e sicure. "Riattivarlo" installando il loro certificato ora ti consentirà di utilizzare connessioni crittografate e "sicure", ma darà al tuo ISP pieno accesso per visualizzare i tuoi dati online, modificare tutto ciò che scarichi (incluso l'inserimento di backdoor o malware in qualsiasi software scaricato), modifica o filtra tutto ciò che carichi e ottieni tutte le credenziali di accesso online (password, cookie, altri token di sicurezza) che utilizzi tramite HTTPS.

Questo non è semplicemente un potenziale rischio teorico. In effetti, dovresti aspettarti che stiano già facendo tutto o in parte: è l'unico motivo pratico per cui si sforzano di bloccare e richiedere il loro certificato in primo luogo.

Solo se lo desideri avere questa connessione nonostante i suddetti problemi, quindi puoi accettare il loro certificato. Una buona VPN a pagamento può essere una soluzione, tuttavia, è possibile che blocchino anche le VPN; può darsi che tu debba scegliere tra una connessione monitorata e non sicura controllata da qualcun altro e nessuna connessione.

Se bloccano le porte VPN o VPN, sarebbe possibile configurare una VPN (server) personale sulla porta 80 e utilizzarla?
@SPRBRN Sì, ma sarebbe inutile. Se il server VPN è in esecuzione sulla rete locale, è soggetto allo stesso monitoraggio e alle stesse restrizioni da parte del tuo ISP che saresti se non stessi utilizzando una VPN.
Utilizzare un server VPN che si trova sulla stessa rete del client è inutile di per sé. Il server VPN dovrebbe trovarsi altrove, ospitato da un provider VPN o ospitato in un VPS personale. Quest'ultima opzione renderebbe possibile eseguirlo sulla porta 80 su quel server. Questo era il mio suggerimento. Quel traffico è consentito. Sarebbe lo stesso eseguire un server SSH su quel server sulla porta 80 invece che sulla porta 22.
@SPRBRN Ah, capisco. Stavi parlando di aggirare il blocco connettendoti alla VPN sulla porta 80 piuttosto che sulla solita porta, non di configurare una VPN personale sulla tua rete locale. Scusa per il fraintendimento.
"è l'unica ragione pratica per cui si sono impegnati a rendere questo blocco e certificato in primo luogo" Dalla modifica dell'OP, sembra che l'ISP dell'OP abbia citato una ragione pratica diversa per fare questo tipo di MITM.
Probabilmente non * bloccano * nulla. Stanno * intercettando * il traffico, ma è probabile che il browser stia bloccando.
#3
+15
Aron
2015-02-03 15:46:58 UTC
view on stackexchange narkive permalink

In effetti, il tuo ISP sta leggendo tutta la tua posta.

Pensa alla tua connessione Internet come a una serie di lettere inviate tramite pony express. L'errore che vedi è che il tuo browser si lamenta del fatto che la tua posta è stata aperta da qualcuno e risigillata con il sigillo di cera sbagliato invece del previsto, ad esempio il sigillo di cera di Google.

Cosa ti dice il tuo ISP non resta che addestrare nuovamente il browser a considerare il sigillo dell'ISP come più degno di fiducia del sigillo di Google.

L'errore è corretto. Ti sta dicendo che il tuo ISP sta leggendo la tua posta. Non fare quello che dicono. Cambia il tuo ISP adesso.

#4
+8
Frank R
2015-02-06 06:28:23 UTC
view on stackexchange narkive permalink

Sono d'accordo che suona molto rischioso, ma potrei avere un'idea che potrebbe aiutare, posso solo presumere che tu stia utilizzando i server DNS del tuo ISP e presumo che tu stia utilizzando un router. Perché non cambiare l'indirizzo IP del tuo server DNS esterno in qualcosa di simile ai server DNS aperti di Google 8.8.8.8 e 8.8.4.4. Se questo interrompe il messaggio di errore e supponendo che NON sia stato installato il certificato ISP, allora sai che il problema è risolto. È molto probabile che sia così che controllano il traffico, molte persone non sanno come modificare manualmente i propri server DNS e tutti devono utilizzare il DNS per accedere a un sito Web, quindi questa idea potrebbe aiutare.

Inoltre potresti utilizzare un servizio VPN privato come https://www.privateinternetaccess.com/, trovo che il loro data center in Texas sia fantastico, ma a seconda di dove ti trovi sono, potrebbe piacerti uno diverso e forniscono la crittografia end-to-end in modo che anche questo potrebbe aiutare. Detto questo, andare da un nuovo ISP è la scelta migliore, l'unico modo in cui l'ISP imparerà sarà quando vedrà i propri clienti partire per la concorrenza.

Buona fortuna

Abbiamo avuto lo stesso problema con un router hackerato che inviava tutto il traffico attraverso un DNS poco affidabile.
#5
+4
Nzall
2015-02-07 05:46:13 UTC
view on stackexchange narkive permalink

Ho effettuato alcune ricerche sul Lebanese Internet Regulation Act. Fondamentalmente, il vostro ministro dell'informazione, Walid Al-Daouq, ha proposto una legge nel 2012 (che non l'ha resa) che avrebbe posto un forte accento sulla libertà di parola in Libano.

Da allora la legge ha è stato bloccato, ma è possibile che il tuo ISP sia stato sottoposto a pressioni dal governo per monitorare il traffico Internet su scala nazionale al fine di trovare persone che minacciano la sicurezza nazionale. La legge libanese prevede la censura per questioni che riguardano la sicurezza nazionale, quindi non è esagerato presumere che chiederanno agli ISP di monitorare tutte le forme di traffico.

Potresti anche aver sentito parlare di Mia Khalifa. Recentemente è stata votata come la "porno star numero 1", e dato che viene dal Libano, il governo non è contento di questo. La sua popolarità potrebbe avere qualcosa a che fare con la recente corsa al monitoraggio.

[\ [citazione necessaria] (http://en.wikipedia.org/wiki/Wikipedia:Citation_needed) \] _ (Non sono in disaccordo con te, penso solo che la tua risposta sarebbe meglio citando o collegando alle informazioni trovate in la tua ricerca) _
#6
+1
Rio Hazuki
2015-02-03 16:18:02 UTC
view on stackexchange narkive permalink

Se lo hanno fatto, a seconda della tua regione, questa potrebbe essere considerata una violazione dei diritti umani in "diritto alla vita privata".

L'errore che stai ricevendo è in realtà un problema comune .

Chiunque hai parlato dal vostro ISP non può sapere cosa si sta parlando e semplicemente si fobbed fuori che ti chiede di installare i certificati.

Dopo aver ricevuto questo errore, hai provato a guardare l'orologio sul tuo computer? Se non è impostato correttamente, l'ora sui certificati (che sono impostati in base all'ora dell'autorità di certificazione) non sarà la stessa sulle vostre macchine, quindi vi verrà chiesto con un messaggio del tipo "il vostro traffico non è sicuro".

Non consentire semplicemente i certificati poiché ciò vanifica lo scopo e se non sai cosa stai facendo, puoi commettere errori che ti costeranno!

È il lavoro di un'autorità di certificazione, ad esempio Verisign, per verificare e tutto quello che dovete fare è quello di assicurarsi che i sistemi non siano compromessi e impostare il vostro orologio.

+1 Anche se penso che il tuo tono sia un po 'fuori luogo (non cercare di aggiungere ideologia in questo e non parlare per difetto dei contributi di altre persone, specialmente se trovano molti voti positivi), sono assolutamente d'accordo con il fatto che si dovrebbe prima controllare le fonti di errore più semplici. Un orologio di sistema errato mi ha già causato quell'esatto problema!
Le persone hanno seriamente bisogno di smetterla di lamentarsi dei "diritti" quando è del tutto illogico farlo.
L'inclinazione dell'orologio risulterebbe in ogni certificato come se fosse scaduto - non c'è alcuna indicazione di ciò nella domanda.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...