Pourquoi Firefox (et seulement Firefox) signale que ma connexion n'est pas sécurisée sur plusieurs sites?
Après avoir installé Firefox 54.0.1 sur mon ordinateur portable professionnel, la première page que je vois m'avertit que "Votre connexion n'est pas sécurisée" lors de l'ouverture https://www.mozilla.org/ .
"Le propriétaire de Firefox a mal configuré son site Web"
Après avoir parcouru un peu plus, j'ai remarqué que Firefox ne signalait pas seulement des erreurs pour Mozilla.
Firefox signale des erreurs de sécurité HTTPS pour Google, Microsoft = , Dropbox, GitHub, Wikipedia, LastPass, Netflix, Facebook, Twitter, Skype, WhatsApp, WolframAlpha, Amazon, LinkedIn, AutoHotkey, Yahoo, - Imgur, et même Stack Exchange.
Il y a quelques points à noter à propos de ces erreurs.
- Ni Google Chrome 59.0.3071.115 ni Internet Explorer 10.0.9200.22139 ne signalent de problèmes de sécurité sur l'un des sites Web répertoriés.
- Quelques sites sélectionnés se chargent dans Firefox sans signaler aucune erreur de sécurité, y compris Découvrir, Visa, Mastercard, Chase, American Express, Citibank, Capital One, Bank of America, Paypal = , Stripe, Intuit, TreasuryDirect, iCloud * , Discord, et YouTube.
- ( Concernant, la majorité des sites qui se chargent sans signaler aucune erreur de sécurité sont liés aux services bancaires et financiers en ligne)
- Je peux charger page de support de Mozilla et Wells Fargo sans erreurs de sécurité, mais les pages s'affichent sous forme de texte sans aucune image ni formatage
Il convient de rappeler que ces erreurs de sécurité se produisent sur un ordinateur portable émis par le travail, ce qui signifie que mon employeur est très probablement en train d'analyser le trafic HTTPS .
Bien que l'analyse HTTPS puisse au moins partiellement expliquer les erreurs de sécurité HTTPS, la situation me laisse encore quelques questions.
- Pourquoi Firefox est-il le seul navigateur à signaler ces erreurs de sécurité?
- Pourquoi Firefox ne signale-t-il pas les erreurs de sécurité sur les sites bancaires et financiers?
- Pourquoi certaines pages ne signalent-elles pas des erreurs de sécurité, mais se chargent uniquement en texte brut?
* Remarque: Bien que iCloud n'ait signalé aucune erreur de sécurité, la page n'a finalement pas pu être chargée avec --- erreur de connexion .
Il y a beaucoup à déballer, donc je ferai de mon mieux ici (sur la base de certaines hypothèses).
Firefox gère son propre magasin de certificats, ce qui est probablement la raison pour laquelle seul Firefox lance ces erreurs. Traditionnellement, SysAdmins poussera les certificats via la stratégie de groupe, qui fonctionne pour les deux Chrome et IE/Edge mais Firefox ne lui fera pas confiance. J'imagine que votre trafic est intercepté par un serveur proxy transparent qui inspecte votre trafic (notez que la lecture des informations du certificat révélera s'il s'agit ou non d'un certificat que votre travail a poussé).
En supposant encore une fois, mais votre travail consiste probablement à ne pas filtrer le trafic des sites Web financiers - sans doute pour éviter toute responsabilité potentielle.
Je ne sais pas pourquoi certains chargent en texte brut. Cela pourrait être lié au processus de procuration.
EDIT: Comme Arminius l'a astucieusement souligné , les pages se chargeant en texte brut sont probablement dues à des erreurs de certificat se produisant avec des ressources extraites de domaines tiers. Il est probable que les images et CSS ne se chargent pas car les erreurs de cert de ces domaines empêchent la transmission des ressources.
Pourquoi Firefox est-il le seul navigateur à signaler ces erreurs de sécurité?
Comme déjà dit, Firefox utilise son propre magasin d'autorité de certification, sa gestion du point de vue de l'entreprise est difficile et ne vaut généralement pas la peine quand Chrome est autorisé.
Pourquoi Firefox ne signale-t-il pas les erreurs de sécurité sur les sites Web bancaires et financiers?
L'inspection HTTPS par un proxy transparent n'est généralement pas autorisée par la loi car elle porterait atteinte à la confidentialité bancaire de l'utilisateur et est généralement considérée comme illégale.
Pourquoi certaines pages ne signalent-elles pas des erreurs de sécurité, mais se chargent uniquement en texte brut?
Habituellement (d'après ce que j'ai vu), c'est parce que la première page est classée comme `` ne devrait pas être interceptée '' comme le sont les sites financiers (ce qui est le cas pour Wells Fargo sur la liste de bluecoat ici ), mais les images viennent à partir d'un autre CDN, donc l'interception se déclenche sur le CDN et les images ne sont pas chargées car le certificat d'autorité est inconnu de Firefox.
Dans mon cas, Avast interférait avec le chargement correct du site sur Firefox, mais cela convenait parfaitement aux autres navigateurs.
J'ai décoché "Scanner les connexions sécurisées" dans les paramètres de Web Shield et mes problèmes ont été résolus.