Disabilita totalmente la convalida del certificato SSL in Ubuntu

13

Sono nuovo di Linux e sto imparando Linux su Ubuntu 18.0401 LTS installato su Oracle Virtualbox sul sistema aziendale. La società ha una rete proxy privata. Quindi tutti i siti Web che navigo su Ubuntu passano attraverso il proxy e ottengono il certificato SSL rilasciato dalla società. Quando navigo da chrome / firefox dà errore come non una fonte attendibile. Quando vado a> anticipo> aggiungi eccezione posso navigare quel particolare sito Web per un po 'di tempo e poi di nuovo dopo qualche volta lo stesso errore (probabilmente cambiano i dettagli del certificato) Nel browser almeno posso navigare dopo tale sforzo ma il software Ubuntu non lo dà nemmeno opzione e semplicemente non sono in grado di scaricare alcun software. Anche CLI apt-get non funziona. Qualcuno può dire un modo per configurare in modo tale da bypassare completamente il sistema di validazione SSL? qualcosa come --disable validazione certificato ssl .. In modo che io sia in grado di connettermi perfettamente a Internet? (ovviamente i siti Web bloccati dal proxy saranno comunque bloccati)

Grazie mille in anticipo !!

NK, appassionato di Linux

PS: di seguito è riportato l'errore su Firefox;

"La tua connessione non è sicura Il proprietario di support.mozilla.org ha configurato il proprio sito Web in modo errato. Per proteggere le tue informazioni dal furto, Firefox non si è collegato a questo sito Web."

ssl  certificates 
Nikhil Kadi
fonte
Dai un'occhiata qui: askubuntu.com/a/94861/783023- Penso che devi solo installare il certificato radice della tua azienda (o il proxy della tua azienda) - allora dovresti andare bene. Tieni presente che alcune app, come Firefox, hanno i propri archivi di chiavi, quindi vale anche la risposta di seguito.
Robert Riedl,
1
Probabilmente dovrebbe essere ovvio per coloro che hanno familiarità con la questione, ma lo dirò comunque. L'installazione di un certificato radice ti rende completamente fidato del proprietario di quel certificato. Ciò significa che il proprietario può ad esempio gestire la connessione e decifrare tutto il traffico https, proprio come il browser ti ha avvisato quando hai utilizzato il proxy aziendale senza aver installato il certificato. Probabilmente non puoi evitarlo se è la politica IT del tuo datore di lavoro che devi usare il loro proxy, ma dovresti esserne consapevole ed evitare di trasmettere qualsiasi cosa personale (operazioni bancarie, accessi privati, ...)
Byte Commander
@ByteCommander, questo è molto vero. In effetti, se sto interpretando correttamente OP, è attualmente (non maliziosamente) man-in-the-medio, a causa del servizio proxy che rompe SSL. Inoltre, la disabilitazione di SSL ti renderà vulnerabile agli attacchi man-in-the-middle.
Robert Riedl,
Grazie per gli esperti di risposte. Il problema è che il team IT non mi darà il certificato, poiché la scatola virtuale è già stata rilasciata dopo così tante approvazioni. Non si preoccuperanno perché sto usando Ubuntu per scopi di autoapprendimento e nulla è bloccato per loro.
Nikhil Kadi,

Risposte:

46

Disabilita totalmente la convalida del certificato SSL in Ubuntu

Fortunatamente ciò non è realmente possibile a parte la compilazione delle applicazioni pertinenti e la disabilitazione della convalida del certificato nel codice.

Il modo corretto di procedere non è disabilitare la convalida ma aggiungere il certificato CA utilizzato dal proxy come attendibile. In questo modo puoi usare il proxy senza alcun avviso ma non sei ancora vulnerabile agli attacchi arbitrari dell'uomo nel mezzo come faresti se disabiliti tutta la convalida.

Chiedere agli amministratori di rete il certificato CA appropriato e installarlo come descritto ad esempio qui per Firefox (sebbene questo sito specifico sia per Windows, è lo stesso con Firefox su Linux).

Steffen Ullrich
fonte
7

Il modo corretto per farlo è quello di aggiungere i certificati CA utilizzati dal proxy. Se vengono ruotati frequentemente, questo può effettivamente diventare fastidioso. Per installare i certificati in modo tale che vengano utilizzati dalla maggior parte delle applicazioni (a differenza di Firefox che utilizza il proprio archivio certificati), procedere come segue:

  1. Ottieni i certificati in formato X.509 con codifica Base64.
    Un modo semplice per ottenerli è attraverso Chrome via Settings, Advanced, Manage Certificatessu un sistema di IT gestito / auto-aggiornato.
  2. Copiarli in /usr/local/share/ca-certificates
    (Facoltativamente creare una nuova sottocartella)
  3. Se l'estensione non è .crt rinominare i file.
  4. sudo update-ca-certificates

Quando si ripete questo esercizio, i certificati potrebbero non essere aggiornati. Puoi aggirare il problema eseguendo prima.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

dove [certificate-name]corrisponde al nome file dei certificati senza l'estensione originale (.crt).

NOTA: testato con Ubuntu 16.04, ma mi aspetto che si comporterà lo stesso con 18.04.

SensorSmith
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.