Quali impostazioni del router mi impedirebbero di accedere ai file CSS tramite https?

Se provo a recuperare questa risorsa (file CSS) con i miei browser:

https://secure.skypeassets.com/apollo/2.0.823/css/components.css

Ottengo questo errore:

Con Firefox:

questa connessione non è sicura

Hai chiesto a Firefox di connettersi in modo sicuro a secure.skypeassets.com, ma non possiamo confermare che la tua connessione sia sicura.

Normalmente, quando si tenta di connettersi in modo sicuro, i siti presenteranno un'identificazione attendibile per dimostrare che si sta andando nel posto giusto. Tuttavia, l'identità di questo sito non può essere verificata. Cosa dovrei fare?

Se di solito ti connetti a questo sito senza problemi, questo errore potrebbe significare che qualcuno sta cercando di impersonare il sito e non dovresti continuare.

Tuttavia, se collego il mio cavo Ethernet direttamente al mio modem via cavo, invece di passare attraverso il mio router, posso accedere a questa risorsa senza alcun problema.

Quindi mi sembra che il problema sia un'impostazione del router, non impostazioni di rete per il computer stesso.

Il router è un router D-Link DIR-632 Wireless N a 8 porte. Il problema si riscontra nei computer collegati tramite cavo Ethernet e nei computer collegati tramite wireless. Il router dice che il firmware è aggiornato.

MODIFICARE:

Vedo questo problema con tutte le pagine su skype.com (nessun file CSS viene recuperato, quindi tutte le pagine sembrano piuttosto brutte). Altro traffico HTTPS va bene. Succede da quanto ricordo, ma non sono sicuro che sia sempre successo con questo router.

ALTRE MODIFICHE:

Selezionando "AVANZATO" mi viene mostrato questo:

Questo server non ha potuto dimostrare che è secure.skypeassets.com; il suo certificato di sicurezza non è attendibile dal sistema operativo del tuo computer. Ciò può essere causato da un'errata configurazione o da un utente malintenzionato che intercetta la connessione.

Passare a secure.skypeassets.com (non sicuro)

Mi è stato chiesto di fornire il certificato. C'erano molte opzioni quando sono andato a salvarlo, e non sono sicuro di averlo fatto correttamente, ma è zippato qui . (Penso che sia stato salvato durante la visita www.skype.com, che era mal formattato perché non poteva accedere ai file CSS da secure.skypeassets.com. Ma mi accorgo ora che ho fatto quello sbagliato ... Avrei dovuto salvare il certificato quando ero in "Il tuo la connessione non è privata ". Spiacenti. Potrei andare a prendere l'altro certificato ora se potrebbe essere d'aiuto, ma non sono sicuro ora se si trattasse di un'aringa rossa, alla luce del problema risolto cambiando i miei server DNS. )

Le risorse statiche di Skype sono ospitate presso Akamai, una rete di distribuzione di contenuti , che indirizza le richieste a uno dei loro server in tutto il mondo più adatto alla tua posizione. Forse il certificato Skype generato da Akamai non è valido su uno dei server di Akamai, o forse uno dei loro server semplicemente non ospita più il contenuto di Skype (più) e Akamai sta cercando di mostrarti una pagina di errore, usando un certificato diverso.

Quindi, solo un'ipotesi selvaggia: forse il router utilizza impostazioni DNS diverse , che sono obsolete (forse si riferiscono a un indirizzo IP errato del tutto) o si riferiscono a un server Akamai configurato in modo errato o per filtrare i server DNS (hai impostato qualcosa come OpenDNS un giorno?) riferito a una pagina di accesso negata del server DNS.

Puoi provare nslookup secure.skypeassets.coma cercare le differenze per le due connessioni. (La prima riga ti dirà quale server DNS viene utilizzato, ma di solito si riferisce all'indirizzo IP del router o del modem.)

Puoi anche confrontare l'output che ottieni con l'output quando usi il DNS di Google:

nslookup secure.skypeassets.com 8.8.8.8

Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
secure.skypeassets.com  canonical name = secure.skypeassets.com.edgekey.net.
secure.skypeassets.com.edgekey.net  canonical name = secure.skypeassets.com.edgekey.net.globalredir.akadns.net.
secure.skypeassets.com.edgekey.net.globalredir.akadns.net   canonical name = e7766.b.akamaiedge.net.
Name:   e7766.b.akamaiedge.net
Address: 23.206.91.11

L'indirizzo IP nell'ultima riga può sicuramente essere diverso senza causare problemi, ma forse ti capita di trovare un indirizzo IP che non dovrebbe essere usato.

È possibile che qualcuno stia correndo una specie di uomo nell'attacco centrale. Accedi al router e controlla chi è connesso. Se trovi qualche macchina sospetta, modifica semplicemente la tua password wifi e assicurati di utilizzare la crittografia WPA

Poiché il problema si verifica solo quando ci si connette tramite il router, è probabile che quel router si scherzi con il traffico. Questo errore specifico indica che il sito visualizzato dal computer presenta un certificato SSL / TLS adatto al sito, ma rilasciato da un'autorità di certificazione non attendibile / sconosciuta. In sostanza, sembrerebbe che il router abbia appena creato una chiave CA e stia firmando i certificati con essa nel tentativo di decifrare il traffico HTTPS.

Non sono riuscito a trovare alcuna menzione di un'impostazione per quel router che abiliti tali shenanigans (diversi dai filtri dei siti Web citati nella risposta di Hertitu ), ma ho scoperto che sono state create versioni di firmware dannose per i router D-Link. Per una lettura spaventosa, vedere Analisi della sicurezza su larga scala del firmware dei dispositivi integrati (PDF). È concepibile che al tuo router sia stato iniettato quel tipo di firmware difettoso e ora ti sta spiando. Potresti provare a eseguire il flashing del firmware noto, ma il firmware non valido potrebbe impedirlo. Se il flash risolve il problema HTTPS, cambia la password di gestione del router per assicurarti che nessun cattivo lo sappia. (L'accesso al router è l'accesso al traffico quando l'opzione "upgrade" del firmware è un'opzione.)

Se il flash non lo risolve, acquista un nuovo router. È l'unico modo per esserne sicuri!

Guardando il Manuale dell'utente di D-Link DIR-635 (pdf) , vedo che ha una funzione Filtri sito Web come opzione nella funzione Controllo accessi. Non ho esperienza con questo particolare router (e quindi con quella funzione) ma è possibile, quando queste funzionalità sono abilitate, che il router stia cercando di presentarti una schermata che dice qualcosa del tipo "non ti è permesso accedere a questa pagina" .