Całkowicie wyłącz sprawdzanie poprawności certyfikatu SSL w Ubuntu

13

Jestem nowy w Linuksie i uczę się Linuksa na Ubuntu 18.0401 LTS zainstalowanym na oracle virtualbox w systemie firmy. Firma posiada prywatną sieć proxy. Więc wszystkie strony, które przeglądam na Ubuntu, przechodzą przez proxy i otrzymują certyfikat SSL wydany przez firmę. Kiedy przeglądam z chrome / firefox, daje błąd, jakbyś nie był zaufanym źródłem. Kiedy przechodzę do> zaliczki> dodaj wyjątek, mogę przeglądać tę stronę przez jakiś czas, a potem ponownie po pewnym czasie ten sam błąd (prawdopodobnie zmieniają się szczegóły certyfikatu) W przeglądarce przynajmniej mogę przeglądać po takim wysiłku, ale oprogramowanie Ubuntu nawet tego nie daje i po prostu nie mogę pobrać żadnego oprogramowania. Również apt-get CLI nie działa. Czy ktoś może powiedzieć, w jaki sposób skonfigurować taki sposób, abyśmy całkowicie pominęli system sprawdzania poprawności ssl w całym systemie? coś w stylu --disable walidacja certyfikatu ssl .. Aby móc bezproblemowo połączyć się z Internetem? (oczywiście strony zablokowane przez proxy nadal będą blokowane)

Dzięki tona z góry !!

NK, entuzjasta Linuksa

PS: Poniżej znajduje się błąd w firefoxie;

„Twoje połączenie nie jest bezpieczne. Właściciel witryny support.mozilla.org nieprawidłowo skonfigurował swoją witrynę internetową. Aby chronić informacje przed kradzieżą, Firefox nie nawiązał połączenia z tą witryną”.

ssl certificates Nikhil Kadi
źródło
Zajrzyj tutaj: askubuntu.com/a/94861/783023 - Myślę, że wystarczy zainstalować certyfikat główny swojej firmy (lub proxy swojej firmy) - wtedy wszystko powinno być w porządku. Pamiętaj, że niektóre aplikacje, takie jak Firefox, mają własne magazyny kluczy, więc obowiązuje również poniższa odpowiedź.
Robert Riedl
1
Prawdopodobnie powinno to być oczywiste dla osób zaznajomionych z tą sprawą, ale i tak to stwierdzę. Zainstalowanie certyfikatu głównego pozwala całkowicie zaufać właścicielowi tego certyfikatu. Oznacza to, że właściciel może np. Zarządzać połączeniem i odszyfrować cały ruch https, tak jak ostrzega cię przeglądarka, gdy korzystasz z firmowego serwera proxy bez instalowania certyfikatu. Prawdopodobnie nie możesz tego uniknąć, jeśli jest to polityka IT twojego pracodawcy, że musisz korzystać z ich serwera proxy, ale powinieneś być tego świadomy i unikać przekazywania czegokolwiek osobistego (bankowość, prywatne logowanie, ...)
Byte Commander
@ByteCommander, to jest bardzo prawda. W rzeczywistości, jeśli poprawnie interpretuję OP, jest on obecnie (nie złośliwie) człowiekiem pośrednim z powodu usługi proxy, która łamie SSL. Ponadto wyłączenie protokołu SSL spowoduje, że będziesz podatny na ataki typu man-in-the-middle.
Robert Riedl
Dziękujemy za odpowiedzi ekspertów. Problem w tym, że zespół IT nie da mi certyfikatu, ponieważ wirtualna skrzynka została już wydana po tylu zatwierdzeniach. Nie będą się tym przejmować, ponieważ używam Ubuntu do celów samokształcenia i nic im nie utknęło.
Nikhil Kadi

Odpowiedzi:

47

Całkowicie wyłącz sprawdzanie poprawności certyfikatu SSL w Ubuntu

Na szczęście tak naprawdę nie jest to możliwe poza ponownym skompilowaniem odpowiednich aplikacji i wyłączeniem sprawdzania poprawności certyfikatu w kodzie.

Właściwym sposobem postępowania jest nie wyłączanie sprawdzania poprawności, ale dodanie certyfikatu CA używanego przez proxy jako zaufanego. W ten sposób możesz korzystać z serwera proxy bez ostrzeżeń, ale nadal nie jesteś narażony na arbitralne ataki typu man at the middle, tak jak w przypadku wyłączenia całej weryfikacji.

Poproś administratorów sieci o odpowiedni certyfikat CA, a następnie zainstaluj go w sposób opisany na przykład tutaj dla przeglądarki Firefox (chociaż ta konkretna witryna jest przeznaczona dla systemu Windows, jest taka sama z Firefoksem w systemie Linux).

Steffen Ullrich
źródło
7

Prawidłowym sposobem jest dodanie certyfikatów certyfikatów używanych przez serwer proxy. Jeśli są często obracane, może to stać się irytujące. Aby zainstalować certyfikaty w taki sposób, że są używane przez większość aplikacji (w przeciwieństwie do Firefoksa, który używa własnego magazynu certyfikatów), wykonaj następujące czynności:

  1. Uzyskaj certyfikaty w formacie X.509 zakodowanym w standardzie Base64.
    Łatwym sposobem na ich uzyskanie jest poprzez Chrome Via Settings, Advanced, Manage Certificatesna zarządzało IT / system auto-aktualizacji.
  2. Skopiuj je do /usr/local/share/ca-certificates
    (opcjonalnie utwórz nowy podfolder)
  3. Jeśli rozszerzenie nie ma nazwy .crt, zmień nazwy plików.
  4. sudo update-ca-certificates

Podczas powtarzania tego ćwiczenia certyfikaty mogą się nie aktualizować. Możesz obejść ten problem, uruchamiając najpierw.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

gdzie [certificate-name]pasuje do nazw plików certyfikatów bez oryginalnego rozszerzenia (.crt).

UWAGA: Testowany pod Ubuntu 16.04, ale spodziewam się, że będzie działał tak samo pod 18.04.

SensorSmith
źródło