Firefox: To połączenie jest niezaufane + Za korporacyjną zaporą ogniową

14

Widziałem kilka podobnych problemów rozrzuconych w wynikach Google na ten temat, ale żaden nie wydaje się być związany z konkretną firmą.

Ciągle pojawia się ekran „To połączenie jest niezaufane” za każdym razem, gdy próbuję zalogować się do bezpiecznej witryny ... na przykład Gmaila.

Jest to dość irytujące, ponieważ czasami muszę przejść proces dodawania wyjątku dwa lub trzy razy, zanim w końcu pozwoli mi wejść do Gmaila.

Jestem za korporacyjną zaporą ogniową, przechodzę przez wewnętrzny serwer proxy, aby dostać się do Internetu, więc nie mam możliwości aktualizacji zapory ... itd.

Czy ktoś wie, jak to obejść? Czy można to po prostu wyłączyć (i czy jest to bezpieczne)?

EDYTOWAĆ

Ponownie otworzę to pytanie z odrobiną nowych informacji.

Ostatnio korzystam z Google Chrome i zauważyłem, że nigdy nie miałem tego problemu podczas korzystania z Chrome lub Internet Explorera. Czy te inne przeglądarki robią coś, co muszę ręcznie zrobić w FF?

firefox security ssl certificate ciebie
źródło

Odpowiedzi:

18

Jeśli data lub godzina systemowa nie jest niepoprawna, a problem nadal nie został rozwiązany, spróbuj wykonać następujące czynności. Ponieważ ten problem występuje tylko w przeglądarce Firefox, ale nie w IE, przejdź do bezpiecznej witryny w IE i określ, który certyfikat jest używany, który będzie ikoną gdzieś na pasku menu. Następnie przejdź do IE> Narzędzia> Opcje internetowe> Treść> Certyfikaty> Zaufane główne urzędy certyfikacji ( a może pośrednie urzędy certyfikacji ) i znajdź certyfikat. Po znalezieniu wybierz opcję Eksportuj, aby wyeksportować certyfikat w domyślnym formacie.

Teraz przejdź do Firefox> Narzędzia> Opcje> Zaawansowane> Szyfrowanie> Wyświetl certyfikaty> Urzędy i poszukaj certyfikatów o podobnej nazwie. Jeśli znajdziesz, naciśnij Eksportuj, aby wyeksportować jego kopię zapasową. Teraz zaimportuj do organów Firefox certyfikat wyeksportowany z IE. Wyjdź i uruchom ponownie Firefox. Sprawdź, czy problem „niezaufanego połączenia” został już rozwiązany. Jeśli nie, możesz usunąć zaimportowany certyfikat, jeśli chcesz. Jeśli pojawią się problemy, zaimportuj z powrotem do władz Firefoksa oryginalny certyfikat Firefox, którego kopię zapasową utworzyłeś.

Jak tylko skończysz, a wszystko działa OK, usuń wyeksportowane certyfikaty, ponieważ muszą one być bezpieczne i nie mogą być przechowywane jako pliki na komputerze.

anone
źródło
1
To też działało dla mnie. Wyeksportowałem cztery „urzędy certyfikacji”, które były pod nazwą mojej firmy w IE. Używany format PKCS # 7. Następnie w przeglądarce Firefox poszedł na stronę Władze i zaimportował wszystkie cztery. Podczas importowania zaznaczono trzy pola zezwalające na wszystkie uprawnienia dla tych urzędów certyfikacji.
Kamień
FYI - To rozwiązanie działa dla nowego PolyBrowser
Ganders
1
From @ User61893: Upewnij się, że sprawdzasz pod-certyfikaty, kiedy przechodzisz do bezpiecznej witryny w IE i określasz, który certyfikat jest używany: 1) Kliknij kłódkę na pasku adresu, aby zobaczyć używany certyfikat. 2) Kliknij „wyświetl certyfikaty” w wyświetlonym dymku. 3) Otwórz zakładkę „ścieżka certyfikatu”. 4) Sprawdź pod-certyfikaty w ramach oryginalnego certyfikatu i przed bezpieczną witryną. Musiałem także zainstalować wszystkie subcertyfikaty, aby Firefox działał.
fixer1234,
1
To było dla nas dokładne rozwiązanie - wewnętrzny korporacyjny serwer proxy SSL dodał wewnętrzny łańcuch certyfikatów dla IE i Chrome, ale nie dodał go do FF. Może FF ma własny magazyn certyfikatów - podczas gdy Chrome / IE są udostępniane. Nie musieliśmy ponownie uruchamiać FF, aby zobaczyć efekt. Sec_error_unknown_issuer jechał mnie orzechy, ponieważ organ nie został wymieniony w FF.
SliverNinja - MSFT
„która będzie ikoną gdzieś na pasku menu”, która pokazuje tylko certyfikat MITM skanera antywirusowego, a nie firmowy certyfikat MITM.
endolith,
7

Są duże szanse, że powodem, dla którego nie jest on zaufany, jest to, że proxy działa jak mężczyzna w środku, zastępując własny certyfikat ssl przeglądarce. Firefox nie rozpoznaje organu podpisującego, więc pyta, czy mu zaufać, czy nie.

Powstaje zatem pytanie: czy ufasz działowi IT swojej firmy? Ponieważ mogliby wtedy odczytać pocztę, zobaczyć twoje zakupy, informacje o karcie kredytowej itp. Cokolwiek robisz online, które jest zaszyfrowane, nie jest dla nich szyfrowane.

ansong
źródło
nawet jeśli ufasz im, że nie czytają twojej poczty, czy ufasz im, że chronią twoje niezaszyfrowane informacje przed hakerami?
endolith,
3

Prawdopodobnie serwer proxy Twojej firmy wykonuje atak typu Man-in-the-middle na wszystkie połączenia (choć w tym przypadku tak naprawdę nie jest to atak). FF nie może odróżnić proxy firmy od EVIL_GUY_ON_THE_INTERNET, robiąc to, więc słusznie cię ostrzega.

W takim przypadku przeglądarka jest źle skonfigurowana: certyfikat, którego używa serwer proxy Twojej firmy, musi zostać zainstalowany w przeglądarce; wtedy FF nie będzie już narzekać. Jako bonus, jeśli atak MITM nastąpi w Twojej sieci (między tobą a serwerem proxy), nadal otrzymasz odpowiednie ostrzeżenie.

Jeśli chodzi o wyłączenie ostrzeżenia: wierzę, że jest to możliwe, ale dość skomplikowane. Wyłączenie nie jest bezpieczne, ponieważ wtedy wszystkie szyfrowane połączenia stają się podatne na ataki MITM. Rozwiązanie, które opisałem powyżej, zachowuje bezpieczeństwo (w miarę możliwości).

Śleske
źródło
pytanie nr 2 to ... czy można znaleźć (poprzez firefox), gdzie ten certyfikat. jest usytuowany?
the_e
@espais: Nie, nie jestem tego świadomy. Musisz zapytać swojego administratora systemu (który powinien był poprawnie skonfigurować przeglądarkę).
śleske,
cholera, zainstalowałem FF na własną rękę, aby uniknąć używania IE ... dziękuję za odpowiedzi wszystkim!
the_e
Co się stanie, jeśli prawdziwy atak MITM nastąpi poza siecią lub witryna zostanie przejęta i wykorzysta fałszywe certyfikaty? Czy Twoja przeglądarka uzna to za uzasadnione, ponieważ akceptuje certyfikat firmy?
endolith,
@endolith: Brzmi jak nowe pytanie. Dlaczego nie zapytasz o to?
sleske,
1

Być może dzieje się tak, ponieważ data lub godzina w systemie są nieprawidłowe. Wybierz Start> Uruchom> cmd> data / T, aby sprawdzić datę systemową. Wprowadź czas / T, aby sprawdzić czas systemowy. Aby ustawić datę lub godzinę systemową, polecenie to data i godzina. Upewnij się także, że zegar znajduje się we właściwej lokalnej strefie czasowej; i upewnij się, że jest zsynchronizowany z internetowym serwerem czasu time.nist.gov.

anone
źródło
1

Jeśli korzystasz z korporacyjnej zapory ogniowej, czy używasz serwera proxy? Niektóre serwery proxy sieci Web przerywają uwierzytelnianie SSL, ponieważ próbują proxy połączeń SSL, które nie będą działać zgodnie z projektem.

Sprawdź ustawienia proxy. Jeśli to możliwe, wyłącz serwer proxy i przeglądaj bezpośrednio.

mauvedeity
źródło
1

Rozwiązałem problem eksportowania niektórych certyfikatów z IE i Maxtona, a następnie importowania ich do Firefoksa i ponownego uruchamiania. Nie wiem dlaczego, to jedyny sposób, aby rozwiązać ten problem po automatycznej aktualizacji Firefoksa do wersji 33.

andrea8310
źródło
-1

Używam FF3.5.5 i otrzymuję komunikat To połączenie nie jest zaufane w połączeniu https za
każdym razem po zamknięciu FF i usunięciu wszystkich plików cookie. FF eliminuje wszystkie certyfikaty i wyjątki podczas usuwania wszystkich plików cookie. Ktoś pomyślał, że to dobry pomysł. To musiał być angielski maniak.

franz
źródło
1
To nie robi Firefox. Usunięcie plików cookie pozbywa się plików cookie, a nie Twojego sklepu z certyfikatem. Myślę, że może pozbyć się również tymczasowych wyjątków.
Rory Alsop,