Problèmes de connexion aux sites Web HTTPS sur le WiFi non sécurisé

9

Je suis sur un MacBook Air exécutant OSX 10.10.2. J'essaie de me connecter à un site Web HTTPS sur Firefox et je reçois le message

Votre connexion n'est pas sécurisée

Le propriétaire de www.google.co.il a mal configuré son site Web. Pour protéger vos informations contre le vol, Firefox ne s'est pas connecté à ce site Web.

Ce site utilise HTTP Strict Transport Security (HSTS) pour spécifier que Firefox ne peut s'y connecter qu'en toute sécurité. Par conséquent, il n'est pas possible d'ajouter une exception pour ce certificat.

Quand je clique sur avancé, je vois

www.google.co.il utilise un certificat de sécurité non valide. Le certificat n'est pas approuvé car le certificat de l'émetteur est inconnu. Le serveur peut ne pas envoyer les certificats intermédiaires appropriés. Un certificat racine supplémentaire peut devoir être importé. Code d'erreur: SEC_ERROR_UNknown_ISSUER

Lorsque j'essaie d'ouvrir un site Web non HTTPS, cela semble fonctionner et lorsque je me connecte à un réseau Wi-Fi avec un mot de passe, tout fonctionne. J'ai essayé d'effacer les caches du navigateur et d'effacer l'historique, de désactiver et de réactiver et d'utiliser Chrome.

J'ai utilisé Safari et j'ai réussi à contourner l'erreur, mais il m'indique "העמוד אליו הגעת חסום לגלישה!" ce qui signifie "La page que vous avez atteinte est bloquée pour la navigation!" mais cela ne dit pas pourquoi.

Je n'ai pas accès au routeur mais tout le monde dont l'ordinateur est connecté à ce WiFi semble fonctionner très bien.

wifi  security  certificate 
Yoni Subin
source
1
Pour moi, il semble qu'il y ait un proxy au milieu ou que vos données soient piratées, et votre navigateur est le seul suffisamment nouveau pour le remarquer, mais ce n'est qu'un pressentiment ... HSTS est utilisé pour appliquer HTTPS, et l'invalide Le certificat SSL sur Google semble très louche!
onik
Sur quel réseau êtes-vous connecté lorsque cela se produit? S'agit-il d'un réseau WiFI partagé? Un réseau d'entreprise?
Josh

Réponses:

2

Le certificat n'est pas approuvé car le certificat de l'émetteur est inconnu.

Étant donné l'hôte Google, il est peu probable que l'hôte lui-même soit la cause de l'erreur.

Il semble qu'il puisse y avoir un proxy SSL ou une autre forme d' inspection approfondie des paquets sur le réseau.

Il peut s'agir d'un agent voyou ou d'une partie légitime du réseau d'entreprise.

L'idée est assez simple, chaque client dispose d'un certificat racine installé pour lequel la clé privée est connue du routeur ou du proxy. Le proxy agit alors comme un "homme au milieu" et décrypte et rechiffre les données sur les connexions sécurisées. Cela permet au proxy d'effectuer une inspection approfondie du contenu vers et depuis des sources externes, telles que les sites https.

Certains diront que c'est une mauvaise chose, car le proxy (et éventuellement celui qui a accès au proxy) peut désormais voir de bout en bout toutes les données que l'utilisateur pense être sécurisées. Certains peuvent affirmer que c'est une bonne chose, car l'entreprise peut inspecter et vérifier et se protéger contre les données sortant et entrant dans le réseau avant d'atteindre le point final.

Les autres utilisateurs peuvent ne pas rencontrer les mêmes symptômes que vous s'ils ont déjà la source de certificat proxy installée en tant qu'autorité de certification approuvée, mais l'inspection approfondie des paquets est toujours en cours.

Il existe de nombreuses ressources sur Internet couvrant ce problème, voici quelques-uns des premiers succès à ce sujet;

http://cookbook.fortinet.com/why-you-should-use-ssl-inspection/

Et

https://en.wikipedia.org/wiki/Man-in-the-middle_attack

"La page que vous avez atteinte est bloquée pour la navigation!"

Compte tenu des possibilités ci-dessus, je soupçonne qu'un pare-feu (ou le proxy) vous bloque également.

Niall
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.