HTTPSを使用するWebサイトに突然アクセスできなくなったので、サービスプロバイダーに連絡したところ、信頼されたルート証明機関ストアに証明書をインストールするように依頼されました。しかし、何かがおかしい:HTTPSを使用するWebサイトにアクセスできるようにするためだけに、同じネットワークに接続されているすべてのデバイスに証明書をインストールするのは奇妙です!この証明書が信頼できるCAによって発行されたことをどのように確認できますか?
インストールしようとすると、次のメッセージが表示されました。
警告:このルート証明書をインストールすると、WindowsはこのCAが発行した証明書を自動的に信頼します。確認されていない拇印を含む証明書をインストールすると、セキュリティ上のリスクがあります。 「はい」をクリックすると、このリスクに同意したことになります。
証明書情報は次のとおりです。
2019年まで有効です。
ちなみに私はレバノンにいます。
ISPに再度連絡したところ、速度を向上させるために何らかのアクセラレータを使用しているため、認証が必要であるため、ユーザーにユーザー名とパスワードを入力させる代わりに証明書を使用することを選択しました彼らはHTTPSを使用するWebサイトにアクセスするたびに、そして私がそれで大丈夫でない場合、私は新しいプールに入れるだろうと提案しました。それで私は何をすべきですか?
ISPの詳細はわかりませんが、ISPがここで行っていることは、インターネット経由で送信するすべてのトラフィックを傍受している可能性が高いと思います。これを行うには(HTTPS暗号化サイトにアクセスするたびにエラーメッセージが表示されないようにするため)、投稿で言及しているルート証明書をインストールする必要があります。
この種の傍受では通常、アクセスするサイトごとに独自の証明書が作成されるため、これを行う必要があります。したがって、たとえば https://www.Amazon.com にアクセスした場合、ブラウザはその接続に対して有効と見なす証明書を持っている必要があります(これは、信頼できる認証局によって発行されたもので、いずれかが提供されます)ブラウザまたは手動でインストールしたもの)。
あなたの視点から見ると、ここでの問題は、ユーザー名/パスワード/クレジットカードの詳細を含むすべてのインターネットトラフィックを見ることができるということです。したがって、必要に応じて、その情報を見ることができます。また、セキュリティ違反があった場合、他の人がその情報にアクセスする可能性があります。さらに、このインターネット接続を介してアクセスするすべてのアカウント(メールアカウントなど)にアクセスする可能性もあります。最後に、このルート証明書をインストールすると、検出されずにインターネットトラフィックを変更できます。
私がお勧めするのは、暗号化されたトラフィックの詳細を確認する必要がある理由を正確に問い合わせる(たとえば、これがあなたの国の法的要件である)ことであり、応答に100%満足していない場合は、新しいISP。別の可能性は、VPNを使用して、すべてのトラフィックをVPN経由でトンネルすることです。 ISPがHTTPS接続にこのようにアクセスすることに不満がある場合は、ISPから提供されたルート証明書をインストールしないでください。
これはあなたのプライバシーとセキュリティをすべて彼らに委ねることの要求です。
これは非常に単純な技術的な問題です。暗号化された安全なHTTPS接続がブロックされています。証明書をインストールして「再有効化」すると、暗号化された「安全な」接続を使用できるようになりますbut ISPがオンラインデータを表示し、ダウンロードしたものを変更できるようになります(バックドアの挿入を含む)またはダウンロードしたソフトウェアのマルウェア)、アップロードしたものを変更またはフィルタリングし、HTTPSを介して使用するすべてのオンラインアクセス資格情報(パスワード、Cookie、その他のセキュリティトークン)を取得します。
これは単に潜在的な理論上のリスクではありません。実際、あなたは彼らがすでにこれの一部またはすべてを行っていることを期待するべきです-それが彼らが最初に彼らの証明書をブロックして要求する努力をした唯一の実用的な理由です。
前述の問題にもかかわらず、この接続を希望する場合にのみ、その証明書を受け入れることができます。良い有償 VPNは解決策になる可能性がありますが、VPNもブロックする可能性があります。他の誰かによって制御されている監視されている接続と安全ではない接続のどちらを選択する必要があるか、まったく接続しない場合があります。
事実上、ISPはすべてのメールを読んでいます。
インターネット接続は、ポニーエクスプレスで送信される一連の手紙と考えてください。表示されているエラーは、メールが誰かによって開かれていて、Googleのワックスシールなどの予期されたものではなく、間違ったワックスシールで再封印されているというブラウザの不満です。
ISPが指示していることは、ISPのシールをGoogleのシールよりも信頼できるものとして扱うようにブラウザを再トレーニングすることです。
エラーは正しいです。 ISPがメールを読んでいることを示しています。彼らが言うことをしないでください。今すぐISPを変更してください。
私はこれが非常に怪しげに聞こえることに同意しますが、私は役立つかもしれないアイデアを持っているかもしれません、私はあなたがあなたのISP DNSサーバーを使用していると仮定することができるだけであり、あなたがルーターを使用していると仮定します。外部DNSサーバーのIPアドレスを、GoogleがDNSサーバー8.8.8.8および8.8.4.4を開くようなものに変更しないでください。それでエラーメッセージが表示されなくなり、ISP証明書がインストールされていないと想定すれば、問題は解決されたことがわかります。多くの人はDNSサーバーを手動で変更する方法を知らず、誰もがDNSを使用してWebサイトにアクセスする必要があるため、このアイデアが役立つ場合があります。
さらに、 https://www.privateinternetaccess.com/ のようなプライベートVPNサービスを利用することもできます。テキサスのデータセンターはすばらしいと思いますが、場所によっては、 1つであり、エンドツーエンドの暗号化を提供するため、あまりにも役立つ場合があります。そうは言っても、新しいISPに行くのが最良の選択です。ISPが学習する唯一の方法は、顧客が競争に出るのを見ることです。
幸運を
私はレバノンのインターネット規制法についていくつかの調査を行いました。基本的に、あなたの情報大臣であるWalid Al-Daouqは、レバノンでの言論の自由に大きなストレスをかけるであろう2012年の法律(それは成立しなかった)を提案しました。
法律は廃止されましたが、ISPが国家の安全を脅かしている人々を見つけるためにインターネットトラフィックを全国規模で監視するよう政府から圧力をかけられている可能性があります。レバノンの法律には国家安全保障に影響を与える問題に対する検閲があるため、ISPにあらゆる形式のトラフィックを監視するよう要求すると仮定するのは一筋縄ではいきません。
ミア・ハリファも聞いたことがあるかもしれません。彼女は最近「ナンバー1ポルノスター」に選ばれ、レバノン出身なので政府はそれに満足していません。彼女の人気は最近のラッシュの監視と関係があるかもしれません。
彼らがこれを行った場合、あなたの地域によっては、これは「私生活の権利」の下の人権侵害と見なされる場合があります。
あなたが受け取っているエラーは実際には一般的な問題です。
ISPから話しかけた人は誰もが何を話しているのかわからず、証明書をインストールするように求めてきただけです。
このエラーが発生してから、コンピューターの時計を確認してみましたか?正しく設定されていない場合、証明書の時刻(認証局の時刻に従って設定されます)はマシン上で同じにならないため、「トラフィックは安全ではありません」などのメッセージが表示されます。
これは目的に反するため、単純に証明書を許可しないでください。何をしているのかわからない場合は、間違いを犯してコストがかかる可能性があります。
それを検証するのはVerisignなどの認証局の仕事であり、必要なことは、システムが危険にさらされていないことを確認し、時計を設定することだけです。