Ostrzeżenia „Niezaufane połączenie” Firefoksa podczas odwiedzania renomowanych witryn HTTPS podczas korzystania z konta dziecka

47

Podczas korzystania z przeglądarki Firefox w systemie Windows widzę ostrzeżenie „Niezaufane połączenie” podczas odwiedzania dowolnej witryny HTTPS, w tym bardzo renomowanych, takich jak https://www.google.com i https://search.yahoo.com . Komunikat ostrzegawczy mówi:

Szczegóły techniczne

search.yahoo.com używa nieprawidłowego certyfikatu bezpieczeństwa.

Certyfikat nie jest zaufany, ponieważ nie podano łańcucha wydawcy.

(Kod błędu: sec_error_unknown_issuer)

Jest to szczególnie denerwujące, ponieważ pasek wyszukiwania nie działa.

Wydaje się, że dzieje się to tylko na koncie dziecka w systemie Windows 8.1 z włączoną funkcją Bezpieczeństwo rodzinne. Co się dzieje i jak mogę to naprawić?

200_sukces
źródło
1
Czy zegar systemowy może być nieprawidłowy? Sprawdź swoją datę / godzinę. Mimo że jest to HTTPS, jeśli twój system uważa, że ​​to 1/1/2001, a ładujesz certyfikat 13 lat w przyszłości, nie będzie on ważny. Tylko myśl.
Andrew
3
@Reeves To nieprawda. (Error code: sec_error_unknown_issuer)który różni się od wygasłego certyfikatu.
Ramchandra Apte
5
Dlaczego nie sprawdzasz certyfikatów, gdy zobaczysz ostrzeżenie „Niezaufane połączenie”? „ google.com ” nie oznacza, że ​​witryna, z którą próbujesz się połączyć, jest godna zaufania. Właśnie o to chodzi w SSL.
el.pescado,
dodaj tag bezpieczeństwa rodzinnego.
Ed Randall
@EdRandall 1. Stack Exchange pozwala tylko na pięć tagów na pytanie. 2. Bezpieczeństwo rodziny zdarza się być częścią odpowiedzi, ale oczywiście nie jest częścią pytania.
200_success

Odpowiedzi:

79

Ponieważ HTTPS został zaprojektowany tak, aby zapobiegać szpiegowaniu, Microsoft Family Safety nie byłby w stanie monitorować zaszyfrowanego ruchu, chyba że wykonałby to, co w zasadzie jest atakiem typu man-in-the-middle. Dokonuje tego poprzez deszyfrowanie i ponowne szyfrowanie komunikacji przy użyciu własnego klucza Microsoft. Takie manipulowanie oczywiście nie pozostaje niezauważone. Firefox słusznie zgłasza schemat man-in-the-middle jako podejrzaną aktywność.

Aby wyrazić zgodę na takie szpiegowanie i zignorować wszystkie ostrzeżenia „Niezaufany certyfikat” wynikające z tego programu, musisz poinstruować Firefoksa, aby ufał certyfikatowi Microsoft SSL używanemu do ponownego szyfrowania. (Microsoft Internet Explorer nie ma tego „problemu”, ponieważ od razu ufa certyfikatowi Microsoft. Google Chrome jest taki sam, ponieważ opiera się na mechanizmach kryptograficznych wbudowanych w Windows. Firefox używa jednak własnych procedur kryptograficznych, które konsultują się z osobna lista zaufanych certyfikatów głównych).

Certyfikat, który musisz zaimportować, to certyfikat Microsoft. Przejdź do Panelu sterowania → Sieć i Internet → Opcje internetowe → Treść → Certyfikaty → Zaufane główne urzędy certyfikacji . Wybierz Microsoft Family Safety certyfikat, a następnie kliknij przycisk Eksportuj ... . Odpowiedź Nie, nie eksportuj klucza prywatnego . Każdy z dwóch formatów .CER jest w porządku. Zapisz go w dowolnej dogodnej tymczasowej lokalizacji, na przykład familysafety.cerna pulpicie.

Następnie musisz powiedzieć Firefoxowi, aby zaufał właśnie wyeksportowanemu certyfikatowi. W menu Firefox wybierz Opcje → Zaawansowane → Certyfikaty → Wyświetl certyfikaty → Urzędy → Importuj… . Wybierz familysafety.cerwłaśnie zapisany. Wybierz opcję Zaufaj temu urzędowi certyfikacji, aby zidentyfikować witryny internetowe , a następnie kliknij przycisk OK i zamknij okno dialogowe Opcje.

Nie powinieneś już otrzymywać ostrzeżenia „Niezaufany certyfikat” podczas odwiedzania renomowanych, poprawnie skonfigurowanych stron internetowych w ramach Bezpieczeństwo rodzinne.


Alternatywnie możesz wyłączyć Bezpieczeństwo rodzinne lub po prostu funkcję Raportowania aktywności. Możesz to zrobić w Panelu sterowania → Konta użytkowników i bezpieczeństwo rodzinne → Ustaw bezpieczeństwo rodzinne dla dowolnego użytkownika . W razie potrzeby uwierzytelnij się jako administrator, a następnie wybierz konto dziecka, na którym chcesz wyłączyć tę funkcję.

200_sukces
źródło
14
Tak więc system Windows ma wbudowany sposób na pokonanie MITM przez https ... Jestem pewien, że Internet Explorer MS nie miałby problemów z zaufaniem MS i nie dałby ostrzeżenia. Dobre dla rodziców i
starszych
5
Szczerze mówiąc, nie jest to „wbudowane”, ponieważ najpierw musisz zainstalować / włączyć funkcję Bezpieczeństwo rodzinne. Dzięki temu rodzice, którzy chcą monitorować i chronić swoje dzieci online, mogą to zrobić.
phyrfox,
4
@ Xen2050 nie jest tak, że „nie miałby kłopotów” w hipotetycznym scenariuszu - jak stwierdzono w odpowiedzi, domyślna konfiguracja IE po wyjęciu z pudełka już ufa tym certyfikatom MS i nie daje ostrzeżenia, jeśli MITM użyje ich gdzieś po drodze .
Peteris,
2
Jeśli odwiedzę google.com z komputera z funkcją Bezpieczeństwo rodzinne i ktoś (oprócz rodziny Bezpieczeństwo) wpadnie na połączenie, czy zostanie powiadomiony przez przeglądarkę, czy nie?
Alexander
3
@DavidZ Jest na to prosty test. Zezwól na certyfikat bezpieczeństwa rodzinnego, a następnie przejdź do strony revoked.grc.com , która zawiera celowo zły certyfikat. Szczerze mówiąc, byłbym raczej zaskoczony, jeśli Family Safety nie korzysta z magazynu certyfikatów Windows. Zaprojektowanie aplikacji do zabezpieczenia komputera dla dzieci, ale pozwolenie im na korzystanie z witryn z nieprawidłowymi certyfikatami byłoby takie samo.
trlkly
2

Myślałem również, że to problem z moją aktualizacją do systemu Windows 10, ale okazało się, że to Avast.

Jeśli chcesz to przetestować,

Avast: Otwórz Avast -> Ustawienia -> Aktywna ochrona -> Osłona WWW (kliknij Dostosuj) -> Odznacz Włącz skanowanie HTTPS.

Firefox: Otwórz Firefox, przejdź do https://www.google.com i sprawdź, czy strona się wyświetla.

Jeśli jesteś zadowolony z wyłączenia skanowania HTTPS podczas przeglądania w przeglądarce Firefox, nie musisz już tego robić.

...

Jeśli jednak obawiasz się i chcesz ponownie uruchomić skanowanie HTTPS, musisz włączyć Firefox, aby zaufał certyfikatowi internetowemu Avast, który modyfikuje zawartość z witryn https (takich jak Google), ponieważ sprawdza potencjalnie szkodliwe treści w bezpiecznym strumieniu. Aby to osiągnąć, wykonaj następujące kroki,

Windows: Otwórz polecenie uruchamiania -> Wpisz mmc i kliknij Ok -> Kliknij Plik -> Dodaj / Usuń przystawkę -> Certyfikaty -> Dodaj -> Moje konto użytkownika -> Zakończ -> Ok

Rozwiń Certyfikaty - bieżący użytkownik -> Zaufane główne urzędy certyfikacji -> Certyfikaty

Powinieneś zobaczyć dwa certyfikaty dla avast! Web / Mail Shield Root, kliknij prawym przyciskiem myszy na niższy i wybierz Wszystkie zadania -> Eksportuj

W wyświetlonym kreatorze kliknij przycisk Dalej -> wybierz kod binarny X.509 (.CER) w formacie DER i kliknij przycisk Dalej -> Kliknij przycisk Przeglądaj i zapisz plik na pulpicie, używając nazwy pliku avast.cer -> Kliknij przycisk Dalej -> Kliknij przycisk Zakończ -> Powinieneś otrzymać komunikat, że eksport się powiódł

Firefox: Otwórz Firefox -> Kliknij trzy poziome linie i wybierz Opcje -> Zaawansowane -> Certyfikaty -> Wyświetl certyfikaty -> Importuj -> Wybierz avast.cer z pulpitu -> Zaznacz dwa pierwsze pola i kliknij OK -> OK - > Zamknij Firefox

Avast: Otwórz Avast -> Ustawienia -> Aktywna ochrona -> Osłona WWW (kliknij Dostosuj) -> Zaznacz Włącz skanowanie HTTPS

Firefox: Otwórz Firefox, przejdź do https://www.google.com, a strona powinna się wyświetlić

Dave Johnson
źródło
Użytkownicy komputerów Mac mogą dowiedzieć się, jak wyeksportować certyfikat avast tutaj: racf.bnl.gov/docs/howto/grid/osxcertmgmt
Christopher Rapcewicz
1

Wiem, że to stary post, ale inną odpowiedzią na to pytanie z mojego doświadczenia było to, że program antywirusowy Avast zrobił to z dowolnym bezpiecznym połączeniem. Google, Youtube, Steam lub cokolwiek innego, w którym widzisz „https: \”

Nie zdawałem sobie z tego sprawy, dopóki nie zacząłem monitorować nieprawidłowych danych i zobaczyłem Avast jako ośrodek certyfikacji. Odinstalowałem Avast i wybrałem inny program antywirusowy. To rozwiązało problem dla mnie.

Corey
źródło
1

W systemie Windows 10 miałem trudności ze znalezieniem odpowiedniego panelu sterowania, a następnie menedżera certyfikatów. Został ukryty przed tępym interfejsem sterowania. Najszybszym sposobem, jaki znalazłem, było:

  1. Utwórz skrót do „Uruchom ...” w menu Start : Start> Wszystkie aplikacje> W> System Windows> Uruchom> Przypnij do ekranu startowego

  2. Naciśnij nowy przycisk Uruchom ... i wpisz „ certlm.msc

  3. Kiedy pojawi się okno „Certyfikaty - komputer lokalny”, Akcja> Znajdź certyfikaty ...> w polu „ Zawiera ” wpisz „ Rodzina

  4. Kliknij prawym przyciskiem myszy certyfikat bezpieczeństwa rodzinnego Microsoft i wybierz „ Eksportuj ... ” Teraz zasadniczo wykonaj kroki od @ 200_success powyżej; Wyeksportuj certyfikat przy użyciu ustawień domyślnych (bez klucza prywatnego, formatu DER, zapisz go w dogodnym miejscu).

  5. Teraz dla każdego dziecka na każdym używanym komputerze zaloguj się i zaimportuj certyfikat do przeglądarki Firefox. Firefox> Opcje> Zaawansowane> Certyfikaty> Wyświetl certyfikaty> karta Urzędy> Importuj ... i wybierz wcześniej zapisany plik. Czy jest jakiś sposób, aby zrobić to raz dla wszystkich użytkowników Firefoxa na komputerze?

Ed Randall
źródło