Question:
Je ne peux pas accéder aux sites Web qui utilisent HTTPS, mais je reçois le message "votre connexion n'est pas privée"!
Tarek
2015-02-02 23:11:03 UTC
view on stackexchange narkive permalink

Je me suis soudainement retrouvé incapable d'accéder aux sites Web utilisant HTTPS. J'ai donc contacté mon fournisseur de services et ils m'ont demandé d'installer un certificat dans le magasin des autorités de certification racines de confiance. Mais quelque chose ne va pas: installer un certificat sur chaque appareil connecté au même réseau pour pouvoir accéder à des sites Web utilisant HTTPS est tout simplement bizarre! Comment puis-je être sûr que ce certificat est émis par une autorité de certification de confiance?

Lorsque j'ai essayé de l'installer, j'ai reçu le message suivant:

Avertissement: Si vous installez ce certificat racine, Windows fera automatiquement confiance à tout certificat émis par cette autorité de certification. L'installation d'un certificat avec une empreinte numérique non confirmée constitue un risque pour la sécurité. Si vous cliquez sur "Oui", vous reconnaissez ce risque.

Voici les informations du certificat:

  • Version: V3
  • Numéro de série : 00 f8 ab 36 f3 84 31 05 39
  • Signature algo: sha1RSA
  • Signature hash algo: sha1
  • Emetteur: ISSA, Internet, Internet, Beyrouth, Beyrouth, LB
  • Objet: ISSA, Internet, Internet, Beyrouth, Beyrouth, LB
  • Clé publique: RSA (1024 bits)

C'est valable jusqu'en 2019.

Et au fait, je suis au Liban.

J'ai de nouveau contacté mon FAI et ils m'ont dit qu'ils utilisaient une sorte de accélérateur pour améliorer la vitesse, et il a besoin d'une authentification, ils ont donc choisi d'utiliser un certificat au lieu de demander à l'utilisateur de saisir un nom d'utilisateur et un mot de passe chaque fois qu'il souhaite accéder à des sites Web utilisant HTTPS. Et ils ont suggéré que si je ne suis pas d'accord avec ça, ils me mettraient dans une nouvelle piscine. Alors, que dois-je faire?

Cela semble un peu douteux. Comme votre FAI est en train de gérer votre HTTPS douteux. Quel pays / FAI? Et pouvez-vous nous donner les détails du Cert?
duplication possible de [Pourquoi Firefox montre que certaines connexions ne sont pas sécurisées?] (http://security.stackexchange.com/questions/23095/why-firefox-shows-some-connections-are-not-secure)
ouais - ISP fait MITM
Whoa, c'est effrayant. En termes simples, votre FAI vous demande d'installer une porte dérobée sur votre ordinateur afin qu'il puisse surveiller et / ou modifier votre trafic Web vers des sites sécurisés (HTTPS). Si vous installez ce certificat, votre FAI peut lire toutes les informations que vous envoyez sur Internet sur des sites sécurisés. N'importe quoi. Cela inclut les mots de passe, les numéros de compte bancaire, peu importe. Notez que pour le trafic normal non sécurisé (HTTP), ils ont déjà cette capacité, sauf si vous utilisez un VPN.
Ce que votre FAI vous a dit n'est qu'une demi-vérité! Il cache le fait que pour accélérer votre connexion Internet, il utilisera le certificat pour déchiffrer tout votre trafic sécurisé, le lira pour le compresser. Cela peut (maintenant) être fait avec de bonnes intentions (pour économiser de l'argent au FAI dans l'infrastructure) - mais cela signifie que vous ouvrez largement votre système et vos données privées à une gamme d'attaques et d'options possibles pour vendre vos données privées
Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/20841/discussion-on-question-by-tarek-i-cant-access-websites-that-use-https-instead) .
Pas le droit de répondre ... Je voulais juste ajouter que certains FAI le font sans mauvaise intention. J'avais une clé UMTS il y a quelque temps d'O2 (Allemagne). Pour permettre une "bonne expérience de navigation", ils ont intercepté tout mon trafic pour recoder toutes les images à une qualité inférieure afin d'économiser de la bande passante. Il est possible que votre FAI tente quelque chose de similaire. Essayez de les contacter pour leur dire que vous ne souhaitez pas ce service.
À noter: il est courant que les réseaux d'entreprise fassent exactement la même chose, en interceptant tout le trafic via un certificat racine préinstallé sur les appareils d'entreprise. Vous feriez face aux mêmes problèmes lors de l'introduction de votre propre appareil sur un tel réseau, mais les utilisateurs réguliers ne le sauraient pas.
Outre les points sur la confidentialité et la sécurité mentionnés dans les réponses et selon le pays, vous voudrez peut-être indiquer à votre FAI qu'il sera désormais responsable de tout problème lié à votre navigation HTTPS. Cela comprend les transactions financières et liées à la santé, qui peuvent leur coûter des millions de dollars. Assurez-vous de conserver une copie légalement recevable de cet avertissement (et indiquez dans votre lettre que vous conserverez cette copie).
Il se peut également que le FAI veuille injecter du Javascript dans tout le trafic au lieu de simplement HTTP, à des fins de suivi et de publicité. Les FAI aux États-Unis font cela. Tout aussi mauvais à mon humble avis
"[Mon FAI] m'a dit que ... il avait besoin d'une authentification, alors ils ont choisi d'utiliser un certificat au lieu de demander à l'utilisateur de saisir un nom d'utilisateur et un mot de passe chaque fois qu'il veut accéder à des sites Web utilisant HTTPS." - c'est un mensonge flagrant, mais c'est le genre de mensonge que vous pourriez dire pour apaiser les utilisateurs qui veulent savoir ce que vous faites mais ne le comprennent pas (pas * nécessairement * un mensonge malveillant).
Chaque accélérateur légitime dont je suis au courant n'accélère pas HTTPS précisément en raison du manque de sécurité qu'il nécessite. Ce n'est généralement pas un gros problème, car la plupart des sites HTTPS ne dépendent pas de la vitesse. Le principal que je connaisse est YouTube, mais la plupart des accélérateurs ne gèrent pas la vidéo et, même s'ils le font, Google est assez bon pour avoir un moyen de désactiver HTTPS pour YouTube.
@example: Bien sûr, O2 est le seul fournisseur qui est devenu tristement célèbre au début des années 2000 pour être malveillant à la plus grande échelle possible (et ne pas être intelligent à ce sujet). Rappelez-vous quand ce gars a déposé une plainte parce qu'ils ont facturé chacun de ses appels mobiles deux fois. Il s'est avéré qu'ils avaient transféré les appels de centaines de milliers de clients _ au cours des mois_ au BND et facturé les clients pour le transfert (presque personne ne regarde leurs factures, il a donc fallu un certain temps avant que quelqu'un ne le remarque).
Même avec les meilleures intentions du monde, être un CA de confiance est une GRANDE affaire.Voir [cette réponse] (http://security.stackexchange.com/a/24906/132456) pour toutes les mesures de sécurité à prendre.Votre FAI ne fait certainement pas cela.
Six réponses:
Rory McCune
2015-02-03 00:49:19 UTC
view on stackexchange narkive permalink

Bien que je ne connaisse pas les spécificités de votre FAI, je dirais qu'il est probable que ce qu'ils font ici intercepte tout le trafic que vous envoyez sur Internet. Pour ce faire (sans que vous receviez de messages d'erreur chaque fois que vous visitez un site crypté HTTPS), ils auraient besoin d'installer un certificat racine, ce que vous mentionnez dans votre message.

Ils doivent le faire. car ce type d'interception implique généralement la création de leur propre certificat pour chaque site que vous visitez. ainsi, par exemple, si vous visitez https://www.amazon.com, ils doivent disposer d'un certificat que votre navigateur considère comme valide pour cette connexion (qui est émis par une autorité de certification de confiance, l'un ou l'autre fourni avec le navigateur ou celui que vous installez manuellement).

De votre point de vue, le problème ici est que cela signifie qu'ils peuvent voir tout votre trafic Internet, y compris les noms d'utilisateur / mots de passe / détails de carte de crédit. Donc, s'ils le souhaitent, ils peuvent consulter ces informations. De plus, s'ils ont une faille de sécurité, il est possible que d'autres personnes aient accès à ces informations. En outre, ils peuvent également accéder à tout compte auquel vous accédez via cette connexion Internet (par exemple, les comptes de messagerie). Enfin, l'installation de ce certificat racine leur permet de modifier votre trafic Internet sans détection.

Ce que je recommanderais, c'est que vous leur demandiez exactement pourquoi ils ont besoin de voir les détails de votre trafic chiffré (par exemple, est-ce une exigence légale pour votre pays) et si vous n'êtes pas satisfait à 100% de la réponse, obtenez un nouveau FAI. Une autre possibilité est d'utiliser un VPN et de tunneler tout votre trafic via le VPN. Si vous n'êtes pas satisfait de l'accès de votre FAI à vos connexions HTTPS, n'installez pas le certificat racine qu'il vous a fourni.

Notez que même si vous n'installez pas le certificat racine, ce type de comportement de votre FAI indique probablement qu'il surveille déjà votre trafic HTTP non chiffré (même s'il ne peut pas surveiller votre trafic HTTPS sans que vous installiez le certificat ou ignoriez le avertissements de sécurité de votre navigateur).
En outre, il semble qu'ils * vous demandent * de prendre leur certificat d'intermédiaire en bloquant tout le trafic SSL jusqu'à ce que vous le fassiez. Ceci est GRAVEMENT invasif. J'irais magasiner pour un autre fournisseur MAINTENANT. Oh, et va chercher TOR si / tant que tu le peux encore.
N'oubliez pas de vérifier les cheksums de TOR pour être sûr qu'ils ne l'ont pas intercepté aussi
@Freedom: Vérifier contre quoi? Les sommes de contrôle publiées sur les sites HTTP ont peut-être été falsifiées, celles sur HTTPS sont bloquées. Si OP publie une adresse postale, quelqu'un pourrait lui envoyer une somme de contrôle, mais cette personne pourrait encore être le FAI, le gouvernement, les services secrets ou autre. Il est difficile de bâtir la confiance sans aucune sorte d'ancrage de confiance. Assez de personnes différentes fournissant les mêmes empreintes digitales dans suffisamment de forums différents, utilisant suffisamment de protocoles différents (HTTP, IRC, News, Mail) peuvent rendre une falsification cohérente moins probable, mais pouvez-vous en être certain, à moins de lire toutes les sources TOR vous-même?
@Freedom Il existe plusieurs façons de "rechercher et remplacer", au niveau du proxy MITM, tous les hachages valides sur Internet, avec ceux du paquet corrompu.
@Commenters,, veuillez vous abstenir d'avoir des discussions prolongées dans les commentaires - en particulier celles qui ne sont que tangentiellement liées au sujet. Veuillez utiliser [chat] pour plus d'informations.
Un des points les plus importants: ** Même si votre FAI est digne de confiance **, vous courez le risque que quiconque obtienne la clé privée de ce certificat. Si vous l'avez obtenu d'un gars douteux sur leur ligne d'aide, peut-être qu'il l'a changé avec son propre certificat et tente une arnaque, ou que quelqu'un pirate son serveur de compression ...
Je recommande vivement à quiconque envisage de vérifier les sommes de contrôle de vérifier TOR, ou tout autre binaire, à des fins de sécurité, de reconsidérer et de vérifier à la place la signature numérique du binaire fourni par les créateurs. TOR fournit un [tutoriel très utile] (https://www.torproject.org/docs/verifying-signatures.html) sur la façon de vérifier sa signature.
@Roy Pourriez-vous publier l'empreinte digitale du certificat qu'ils vous ont demandé d'installer? Merci.
@EricLloyd: Ce n'est pas correct. Le FAI ne bloque pas tout le trafic SSL; c'est juste qu'ils ont déjà démarré MITM-ing, donc le * navigateur * bloque le trafic (puisqu'il ne reconnaît pas le certificat). Je ne prétendrai pas que c'est "raisonnable", car tout n'est pas raisonnable, mais le MITM n'a aucun moyen de détecter si un utilisateur donné a encore installé le certificat racine, donc cet aspect spécifique de celui-ci n'est pas un comportement inapproprié du FAI . (Mais ils auraient dû faire tout l'acceptation.)
@ruakh, Point bien pris. Lorsque l'OP a dit qu'il ne pouvait pas visiter les sites https, j'ai supposé que c'était un blocage total, sans moyen de le contourner. Mon thinko. :-)
Je suis d'accord avec cette explication. Cela ressemble un peu à ce que Nokia a fait avec Ovi, qui était censé être un proxy mobile légitime pour améliorer les performances du réseau - https://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/
À quel point tunnel votre communication via VPN étant donné que votre FAI peut intercepter votre tunnel VPN, le dérouler, intercepter le contenu de manière récursive?Et s'ils ne reconnaissent pas le protocole VPN, ils peuvent toujours l'arrêter.
@JanDvorak comment le FAI intercepterait-il le trafic VPN sans les clés pour le faire?Bien sûr, le FAI peut bloquer tout ce qu'il veut, même s'il doit reconnaître le trafic comme VPN et le bloquer.Le but d'utiliser un VPN est d'éviter l'interception sur le réseau local des FAI où ils utilisent des techniques d'interception standard.
Peteris
2015-02-03 09:58:21 UTC
view on stackexchange narkive permalink

Il s'agit d'une demande pour leur céder toute votre confidentialité et votre sécurité.

C'est un problème technique très simple - ils ont bloqué les connexions HTTPS cryptées et sécurisées. Le «réactiver» en installant leur certificat vous permettra désormais d'utiliser des connexions cryptées et «sécurisées», mais cela donnera à votre FAI un accès complet pour afficher vos données en ligne, modifier tout ce que vous téléchargez (y compris l'insertion de portes dérobées ou des logiciels malveillants dans tout logiciel téléchargé), modifiez ou filtrez tout ce que vous téléchargez et obtenez toutes les informations d'identification d'accès en ligne (mots de passe, cookies, autres jetons de sécurité) que vous utilisez via HTTPS.

Ce n'est pas simplement un risque théorique potentiel. En fait, vous devriez vous attendre à ce qu'ils fassent déjà tout ou partie de cela - c'est la seule raison pratique pour laquelle ils font l'effort de bloquer et d'exiger leur certificat en premier lieu.

Seulement si vous le souhaitez avoir cette connexion malgré les problèmes susmentionnés, vous pouvez alors accepter leur certificat. Un bon VPN payant peut être une solution, cependant, il est possible qu'ils bloquent également les VPN; il se peut que vous deviez choisir entre une connexion surveillée et non sécurisée contrôlée par quelqu'un d'autre et aucune connexion du tout.

S'ils bloquent les ports VPN ou VPN, serait-il possible de configurer (un serveur) VPN (personnel) sur le port 80 et de l'utiliser?
@SPRBRN Oui, mais ce serait inutile. Si le serveur VPN fonctionne sur votre réseau local, il est soumis à la même surveillance et aux mêmes restrictions de la part de votre FAI que vous le seriez si vous n'utilisiez pas de VPN.
L'utilisation d'un serveur VPN qui se trouve sur le même réseau que le client est inutile en soi. Le serveur VPN doit être situé ailleurs, soit hébergé par un fournisseur VPN, soit hébergé dans un VPS personnel. Cette dernière option permettrait de l'exécuter sur le port 80 de ce serveur. C'était ma suggestion. Ce trafic est autorisé. Ce serait la même chose d'exécuter un serveur SSH sur ce serveur sur le port 80 au lieu du port 22.
@SPRBRN Ah, je vois. Vous parliez de contourner le blocage en vous connectant au VPN via le port 80 plutôt que par le port habituel, et non de configurer un VPN personnel sur votre réseau local. Désolé pour le malentendu.
"C'est la seule raison pratique pour laquelle ils ont fait l'effort de faire ce blocage et ce certificat en premier lieu" D'après l'édition du PO, il semble que le FAI du PO ait cité une autre raison pratique pour faire ce type de MITM.
Ils ne bloquent probablement rien. Ils * interceptent * le trafic, mais il est probable que le navigateur effectue le blocage.
Aron
2015-02-03 15:46:58 UTC
view on stackexchange narkive permalink

En fait, votre FAI lit tous vos e-mails.

Considérez votre connexion Internet comme une série de lettres envoyées via pony express. L'erreur que vous voyez est que votre navigateur se plaint que votre courrier a été ouvert par quelqu'un et rescellé avec le mauvais sceau de cire plutôt que le sceau de cire attendu, par exemple celui de Google.

Ce que votre FAI vous dit de faire faire est de recycler votre navigateur pour qu'il considère le sceau du FAI comme étant plus digne de confiance que le sceau de Google.

L'erreur est correcte. Il vous indique que votre FAI lit votre courrier. Ne fais pas ce qu'ils disent. Changez votre FAI maintenant.

Frank R
2015-02-06 06:28:23 UTC
view on stackexchange narkive permalink

Je suis d'accord que cela semble très douteux, mais j'ai peut-être une idée qui pourrait vous aider, je ne peux que supposer que vous utilisez les serveurs DNS de votre FAI, et je suppose que vous utilisez un routeur. Pourquoi ne pas simplement changer l'adresse IP de votre serveur DNS externe en quelque chose comme Googles ouvre les serveurs DNS 8.8.8.8 et 8.8.4.4. Si cela arrête le message d'erreur et en supposant que vous n'avez PAS installé le certificat FAI, vous savez que le problème est résolu. Il est très probable que c'est ainsi qu'ils contrôlent le trafic, beaucoup de gens ne savent pas comment changer manuellement leurs serveurs DNS et tout le monde doit utiliser DNS pour accéder à un site Web, cette idée pourrait donc aider.

De plus, vous pouvez opter pour un service VPN privé comme https://www.privateinternetaccess.com/, je trouve que leur centre de données au Texas est génial, mais selon l'endroit où vous sont, vous pourriez en aimer un différent, et ils fournissent un cryptage de bout en bout, ce qui pourrait également aider. Cela dit, aller chez un nouveau FAI est le meilleur choix, la seule façon pour le FAI d'apprendre, ce sera quand il verra ses clients partir pour la compétition.

Bonne chance

Nous avons eu le même problème avec un routeur piraté envoyant tout le trafic via un DNS douteux.
Nzall
2015-02-07 05:46:13 UTC
view on stackexchange narkive permalink

J'ai fait des recherches sur la loi libanaise sur la réglementation de l'Internet. Fondamentalement, votre ministre de l'Information, Walid Al-Daouq, a proposé une loi en 2012 (qui n'a pas réussi) qui aurait mis fortement l'accent sur la liberté d'expression au Liban.

La loi a depuis a été arrêté, mais il est possible que votre FAI ait subi des pressions du gouvernement pour surveiller le trafic Internet à l'échelle nationale afin de trouver des personnes qui menacent la sécurité nationale. La loi libanaise a la censure pour les questions qui affectent la sécurité nationale, il n'est donc pas exagéré de supposer qu'ils demanderont aux FAI de surveiller toutes les formes de trafic.

Vous avez peut-être aussi entendu parler de Mia Khalifa. Elle a récemment été élue "star du porno numéro 1", et comme elle est du Liban, le gouvernement n'est pas content de cela. Sa popularité a peut-être quelque chose à voir avec la récente ruée vers la surveillance.

[\ [citation nécessaire] (http://en.wikipedia.org/wiki/Wikipedia:Citation_needed) \] _ (Je ne suis pas en désaccord avec vous, je pense simplement que votre réponse serait mieux de citer ou de créer un lien vers des informations trouvées dans votre recherche) _
Rio Hazuki
2015-02-03 16:18:02 UTC
view on stackexchange narkive permalink

S'ils l'ont fait, selon votre région, cela peut être considéré comme une violation des droits de l'homme sous "droit à la vie privée".

L'erreur que vous recevez est en fait un problème courant .

La personne à qui vous avez parlé de votre FAI peut ne pas savoir de quoi vous parlez et simplement vous demander d'installer des certificats.

Depuis que vous recevez cette erreur, avez-vous essayé de regarder votre horloge sur votre ordinateur? S'il n'est pas défini correctement, l'heure sur les certificats (qui sont définies en fonction de l'heure de l'autorité de certification) ne sera pas la même sur vos machines, vous invitant donc avec un message tel que "votre trafic n'est pas sécurisé".

N'autorisez pas simplement les certificats car cela va à l'encontre de l'objectif, et si vous ne savez pas ce que vous faites, vous pouvez faire des erreurs qui vous coûteront!

C'est le travail d'une autorité de certification, telle que Verisign, pour le vérifier et tout ce que vous avez à faire est de vous assurer que vos systèmes ne sont pas compromis et de régler votre horloge.

+1 Bien que je pense que votre ton est un peu déplacé (n'essayez pas d'ajouter de l'idéologie à cela, et ne dénigrez pas les contributions des autres, surtout s'ils trouvent beaucoup de votes positifs), je suis absolument d'accord avec le fait qu'il faut d'abord vérifier les sources d'erreurs les plus simples. Une horloge système incorrecte m'a déjà causé ce problème!
Les gens ont sérieusement besoin d'arrêter de se plaindre des «droits» quand il est totalement illogique de le faire.
Un décalage d'horloge donnerait à chaque certificat l'impression qu'il a expiré - il n'y a aucune indication à ce sujet dans la question.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...