web-dev-qa-db-fra.com

Pourquoi / Comment Firefox contourne-t-il le décryptage SSL de mon employeur?

Mon employeur a mis en place ce qu'ils appellent "SSL décryption" pour l'accès à Internet de la société. Je crois que cela est fourni par un périphérique F5. Ils ont installé un certificat de racine de confiance sur tous les appareils corporatifs et utilisent ceci pour mettre fin à HTTPS sortants, créant leur propre connexion HTTPS sur le serveur externe, interceptant toutes les données en plainte et le recrypter à l'aide d'un faux certificat signé par leur remplacement. Certificat de racine. Donc, man-in-the-orthling tout.

Je peux voir que cette interception a lieu en visionnant la voie de certification dans mon navigateur, je reçois quelque chose comme:

+- Acme Corporation Root CA
|
+--+- *
   |
   +--+- www.letsencrypt.org

Ce qui précède est vrai pour Internet Explorer 11 et Chrome 65. Cependant, lorsque j'essaie Firefox 59, je vois le chemin de certification suivant:

+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
   |
   +--+- www.letsencrypt.org

Ce que je comprends, c'est que la connexion Firefox a non été interceptée et déchiffrée. (Si j'ai atteint la mauvaise conclusion ici, cela serait utile de savoir.)

Firefox fournit des informations techniques les informations suivantes:

Connexion cryptée (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 clés bits, TLS 1.2)

Je ne trouve pas de moyen de voir quelle version de TLS est utilisée par IE et chrome.

Firefox fait non Affiche tout certificat racine d'entreprise installé dans sa liste de certificats de confiance (car il n'utilise pas le magasin de certificats Windows). Également security.enterprise_roots.enabled option est false.

Ma question est pourquoi et comment Firefox évite-t-il cela? Firefox me coude-t-il et la connexion est en fait interceptée en quelque sorte? Utilise-t-il une version différente de TLS ou une suite de suites de chiffrement différente que le périphérique F5 ne peut pas gérer?

Notez que j'ai lu Comment les utilisateurs finaux peuvent détecter des tentatives malveillantes sur SSL Spoofing lorsque le réseau dispose déjà d'un proxy SSL autorisé? qui décrit une situation similaire mais n'était pas vraiment éclairant. J'ai également vu le Patrol de certificat Addon mais qui n'est pas compatible avec Firefox Quantum. (Y a-t-il un remplacement qui fonctionne avec Firefox moderne?)

tlscertificatesweb-browserman-in-the-middleproxy
5
Whitewash

C'est vraiment simple, c'est votre employeur qui n'a pas sécurisé son réseau correctement. Je suppose qu'ils ajoutent des paramètres de proxy système ou ont configuré les autres navigateurs pour utiliser leur proxy d'interception, et l'interception ne se produit que lorsque vous utilisez leur proxy, mais ils n'ont pas mis de pare-feu réseau pour bloquer le trafic qui ne passe pas via le proxy.

11
Lie Ryan

Firefox utilise son propre stockage de certificat, distinct du stockage que votre système d'exploitation utilise. La plupart des autres navigateurs utilisent le système un, que vous pouvez lire à propos de Ceci Réponse. Vous pouvez lire sur la stratégie de certificat Mozilla sur leur site Web ici , la partie la plus pertinente étant:

Lors de la distribution des versions binaires et de code source de Firefox, Thunderbird et d'autres logiciels associés à Mozilla, Mozilla comprend avec un ensemble de certificats racines X.509V3 pour diverses autorités de certification (CAS).

Mozilla a également un outil appelé CERTUTIL pour modifier la base de données.

Associé: Cette question

0
JonRB