„Twoje połączenie nie jest prywatne” w systemie Linux, ale w porządku w systemie Windows

1

Korzystam z systemu Linux i Windows w średniej wielkości firmie (wystarczająco dużej, że ludzie z systemów znajdują się w innym mieście).

W systemie Linux, chrome i firefox odmawiają łączenia się z niektórymi popularnymi stronami internetowymi, które wymagają połączenia https: mówiąc, że „twoje połączenie nie jest prywatne” i pojawia się błąd dotyczący certyfikatu. Twitter jest przykładem (nie zamierzam publikować na Twitterze, tylko po to, żeby przeczytać coś, co kazano mi przeczytać). Z drugiej strony Gmail (który również używa https) jest dostępny na Linuksie. [To jest na aktualnym systemie Ubuntu, wersja 16.x]

Zagadkowa rzecz (dla mnie): w systemie Windows nie ma problemu, żadne strony internetowe nie są blokowane.

Co może być tego przyczyną? Wszelkie wskazówki, jak przejść do debugowania?

Proszę zachować odpowiedź dość prostą. Znam trochę programowania, ale nic o systemach i sieci.

Byk
źródło
1
Zainstalowano różne dozwolone urzędy certyfikacji i pliki łańcuchowe itp. Jeśli sprawdzisz certyfikat pod Linuksem, co sprawia, że ​​jest on niezaufany?
ivanivan

Odpowiedzi:

3

Twoja firma i / lub ktokolwiek zarządza Twoimi systemami komputerowymi i siecią, a konkretnie Twoim serwerem proxy, skonfigurował go do monitorowania całego ruchu sieciowego z ich systemów. Obecnie jest to normalne i odbywa się to poprzez określenie zaufanego urzędu certyfikacji, zwykle w Internet Explorerze, czyli przez firmę lub administratora sieci. Aby uzyskać połączenie https w niektórych witrynach zewnętrznych, musisz przejść przez ich proxy, a także mieć ich zaufany certyfikat. Z technicznego punktu widzenia jest to rodzaj człowieka w środku ataku, ponieważ Twoja firma będzie wiedziała, co robisz po połączeniu się z dowolną witryną https. Jeśli uważasz, że Twoje szyfrowane połączenie między IE na komputerze ahttps://www.google.com/?gws_rd=sslna przykład jest między tobą a Google-em jeszcze raz. Technicznie rzecz biorąc, jesteś najpierw szyfrowany między IE a serwerem proxy, a administratorzy kontrolujący ten serwer proxy będą wiedzieli wszystko, co robisz, ponieważ ten serwer proxy przekazuje tę komunikację SSL do dowolnej strony zewnętrznej, na którą się wybierasz.

problem z systemem linux, ponieważ jest to inny system, który nie jest zarządzany przez firmę lub administratorzy sieci nie mają zaufanego certyfikatu firmy. Musisz ręcznie wyeksportować go z IE na komputerze swojej firmy, a następnie zaimportować do Firefox / Chrome / dowolnej przeglądarki w danym systemie komputerowym. Należy również pamiętać w systemie Linux, że przeglądarki mogą używać innego protokołu SSL niż domyślny w systemie, który może być poniżej /etc/ssl/certs.

Oznacza to, że jeśli ręcznie zaimportujesz certyfikat, /etc/ssl/certsaby Twój system operacyjny Linux mógł zaktualizować repozytoria do łatania, takie jak SUSE lub Redhat, nie oczekuj, że Firefox będzie działał, nawet jeśli powiesz mu, aby używał ustawień systemowych. To samo dotyczy ręcznego importowania certyfikatów do Firefoxa, nie oczekuj, że jądro i dowolny menedżer aktualizacji online będą coś o tym wiedzieć.

IE - narzędzie - opcje internetowe - Treść - Certyfikaty - Zaufane główne urzędy certyfikacji

zostanie to wypełnione na twoim komputerze z systemem Windows, poszukaj tych, które się wyróżniają i najprawdopodobniej będą miały nazwę Twojej firmy lub korporacji. Wyeksportuj to do pliku, który możesz skopiować do swojego systemu Linux lub innego systemu.

Firefox: narzędzia - opcje - zaawansowane - certyfikaty - przeglądaj certyfikaty - uprawnienia - importuj

Aby zaktualizować system Linux, wiem jak to zrobić na SLES pod / etc / ssl / certs. Sprowadza się to do wyeksportowania SSL z IE w prawidłowym formacie, a następnie skopiowania pliku do systemu Linux. Eksportuje IE w formacie CER, a linux chce formatu PEM, więc będziesz musiał skopiować pliki CER do linuxa w folderze tymczasowym gdzieś i za każdym razem

openssl x509   -inform der    -in IE_exported_cert.CER    -out cert_for_linux.PEM

skopiuj te pliki PEM do /etc/ssl/certstego folderu i wewnątrz każdego pliku PEM, który jest nowym certyfikatem

ln -s     cert_for_linux.PEM      `openssl x509 -hash -noout -in cert_for_linux.PEM`.0
Ron
źródło
Dziękuję Ci. Tak, maszyna linux jest nowo skonfigurowana i ma inną grupę, więc twoje wyjaśnienie pasuje.
Bull