web-dev-qa-db-ja.com

Firefoxが雇用主のSSL復号をバイパスする理由/方法は?

私の雇用主は、社内からのインターネットアクセス用に「SSL復号化」と呼んでいるものを設定しました。これはf5デバイスによって提供されると思います。彼らはすべての企業デバイスに信頼されたルート証明書をインストールし、これを使用して発信httpsを終了し、外部サーバーへの独自のhttps接続を作成し、すべてのデータをプレーンテキストで傍受し、代替の署名付きの偽の証明書を使用して再暗号化しますルート証明書。だから、中途半端なものすべて。

私のブラウザーで認証パスを表示することにより、この傍受が行われていることがわかります。

+- Acme Corporation Root CA
|
+--+- *
   |
   +--+- www.letsencrypt.org

上記はInternet Explorer 11とChrome 65の両方に当てはまります。ただし、Firefox 59を試すと、次の認証パスが表示されます。

+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
   |
   +--+- www.letsencrypt.org

これから私が理解しているのは、Firefox接続がインターセプトおよび復号化されたされていないことです。 (ここで間違った結論に達した場合、それは知っておくと役に立ちます。)

Firefoxは技術的な詳細の下で次の情報を提供します:

暗号化された接続(TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、256ビットキー、TLS 1.2)

IEとChromeで使用されているTLSのバージョンを確認する方法が見つかりません。

Firefoxは(Windows証明書ストアを使用しないため)信頼できる証明書のリストにインストール済みの企業ルート証明書を表示しません。また、security.enterprise_roots.enabledオプションはfalseです。

私の質問は、なぜ、そしてどのようにFirefoxはこれを回避するのですか? Firefoxは私に嘘をついていて、接続は実際に何とか遮断されていますか? f5デバイスが処理できない別のバージョンのTLSまたは別の暗号スイートを使用していますか?

私が読んだことに注意してください 承認済みのSSLプロキシがネットワークに既にある場合、エンドユーザーはSSLスプーフィングの悪意のある試みをどのように検出できますか? 同様の状況を説明していますが、実際には啓発的ではありませんでした。 Certificate Patrol アドオンも見ましたが、Firefox Quantumと互換性がありません。 (最新のFirefoxで動作する代替品はありますか?)

tlscertificatesweb-browserman-in-the-middleproxy
5
Whitewash

それは本当に非常に簡単です。ネットワークを適切に保護していないのは雇用主です。彼らはシステムプロキシ設定を追加したか、他のブラウザがインターセプトプロキシを使用するように構成し、プロキシを使用している場合にのみインターセプトが発生したと思いますが、経由しないトラフィックをブロックするネットワークファイアウォールを設置していませんプロキシ。

11
Lie Ryan

Firefoxは、オペレーティングシステムが使用するストレージとは別に、独自の証明書ストレージを使用します。他のほとんどのブラウザーは、システムの1つを使用します。これは this の回答で参照できます。 Mozilla証明書ポリシーについては、Webサイト here で読むことができます。最も重要な部分は次のとおりです。

Firefox、Thunderbird、およびその他のMozilla関連のソフトウェア製品のバイナリおよびソースコードバージョンを配布する場合、Mozillaはそのようなソフトウェアにさまざまな認証局(CA)のX.509v3ルート証明書のセットを含めます。

Mozillaには、データベースを変更するための certutil というツールもあります。

関連: この質問

0
JonRB