LINUX.ORG.RU
ФорумTalks

прокси подменяет SSL сертификат

 


0

1

авторизуюсь на местном файрволле, чтобы пускал меня в сеть, все работает норм, но почему-то claws-mail плюется вот этим:

https://dropmefiles.com/SCYlB

Понимаю, что прокси подменяет сертификат где-то. Однако почему только claws-mail бьет тревогу?

★★☆☆☆

Просто Claws не использует CA как способ проверки сертификатов, а полагается на то, у сервера сертификаты меняются редко и предсказуемо. Подход интересный, но сейчас из-за всяких Let's Encrypt'ов малоосуществимый. Наверное, сертификат прокси у тебя добавлен в доверенные CA.

squareroot ★★★★
()
Последнее исправление: squareroot (всего исправлений: 2)
Ответ на: комментарий от squareroot

Просто Claws не использует CA как способ проверки сертификатов, а полагается на то, у сервера сертификаты меняются редко и предсказуемо. Подход интересный, но сейчас из-за всяких Let's Encrypt'ов малоосуществимый. Наверное, сертификат прокси у тебя добавлен в доверенные CA.

так наоборот, когда через прокси/файрволл — плюется. Когда напрямую — норм.

И я не понимаю, ведь файрволл/прокси просто дожен соединение обеспечивать? Я нигде не прописываю адреса прокси и т.д. Просто соединяюсь с сетью, авторизуюсь на страничке, и все.

Значит где-то MITM?

dikiy ★★☆☆☆
() автор топика
Последнее исправление: dikiy (всего исправлений: 1)
Ответ на: комментарий от dikiy

так наоборот, когда через прокси/файрволл — плюется. Когда напрямую — норм.

все правильно. Исходно ты подключался напрямую и Claws запомнил правильный сертификат. А через прокси/файервол идет подмена серта, т.е. MITM.

squareroot ★★★★
()
Последнее исправление: squareroot (всего исправлений: 1)
Ответ на: комментарий от dikiy

зачем они это делают?

А вот это уже к админам прокси. Скорее всего, ничего криминального, но прецедент неприятный.

squareroot ★★★★
()
Последнее исправление: squareroot (всего исправлений: 1)
Ответ на: комментарий от squareroot

Вот, даже нагуглил инструкцию, как добавлять сертификат прокси в доверенные CA, чтобы MITM прошел у пользователей незамеченным: https://cookbook.fortinet.com/preventing-certificate-warnings/

офигеть. И как от этого уберечься? Отключить атовматическое доверие сертификатам из CA?

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от squareroot

кстати, подключаться к VPN по OpenConnect получается и на сертификаты не ругается вроде. И tox работает норм. Я в вопросах o.O

dikiy ★★☆☆☆
() автор топика
Последнее исправление: dikiy (всего исправлений: 1)
Ответ на: комментарий от dikiy

И как от этого уберечься? Отключить атовматическое доверие сертификатам из CA?

Найти и выкинуть их сертификат из списка CA. Кстати, возможно, что они только почту MITM'ят, посмотри детали сертификата на каком-нибудь https://google.com — если выдан гуглом, то все ок, если FortGate'ом — то HTTPS тоже перехватывается.

squareroot ★★★★
()
Ответ на: комментарий от squareroot

на лор пишет вот это: выдан COMODO CA Limited

SHA256: CF:C3:94:77:A3:27:92:25:90:05:85:57:57:CD:7D:7E:B3:B8:2A:82:37:88:73:E2:4F:31:DF:43:62:86:A7:BA

у тебя такой-же? А еще пишет что «прокси подменяет SSL сертификат».

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от dikiy

Да, на ЛОРе такой же. CF:C3:94:77:A3:27:92:25:90:05:85:57:57:CD:7D:7E:B3:B8:2A:82:37:88:73:E2:4F:31:DF:43:62:86:A7:BA. Ничего не пишет.

squareroot ★★★★
()

У нас на работе корпоративный прокси так делает. За исключением нескольких сайтов, типа sberbank.ru. И в доверенные центры ОС добавлен корневой сертификат компании через политики. В Хроме и IE по умолчанию этого достаточно. Но в FF, чтобы не видеть сообщение об ошибке необходимо добавить сертификат вручную.

r_a_vic
()
Последнее исправление: r_a_vic (всего исправлений: 1)
Ответ на: комментарий от dikiy

Там нужно не только владельца сертификата смотреть, но и подписавшего его, и вообще всю цепочку доверия. Или отпечаток сравнивать.
Плюсую мнение о том, что залезают только в IMAPS. Иначе бы все остальные сетевые приложения давно бы завопили.
Ещё один способ обнаружить MITM - воспользоваться tcptraceroute на интересующий порт. Если трасса внезапно обрывается, то значит, что где-то стоит прозрачный прокси.

h31 ★★★★
()
Ответ на: комментарий от dikiy

Кэширование, того что по сути не нужно кэшировать. Ну или если прокси использует для мониторинга трафика, то подмена тоже понятна.

кстати, подключаться к VPN по OpenConnect получается и на сертификаты не ругается вроде. И tox работает норм. Я в вопросах o.O

Трафик идет через vpn

anonymous_sama ★★★★★
()
Ответ на: комментарий от AEP

Прокси не умеют подделывать EV

Но не факт, что не умеют пропускать прозрачно на сайты с EV, и подставлять все остальные. Что было бы разумным поведением.

DonkeyHot ★★★★★
()
Ответ на: комментарий от AEP

Умеют подменять его на не EV. И выглядит это как обычный сайт по https без зеленого названия компании.

r_a_vic
()
Ответ на: комментарий от h31

Иначе бы все остальные сетевые приложения давно бы завопили

Далеко не факт. Вопли - на усмотрение приложений. Ну и в зависимости от того, добавлен ли прокси в доверенные СА.

Если это корпоративная машина в домене, сертификат можно сунуть в доверенные политиками (работает для ИЕ/эдж и хромообразных). Для ФФ вроде тоже есть свой костыль для автоматического распространения.

При этом когда последний раз проверял, ИЕ/Эдж молча проглатывали SSL MITM при условии, что СА в доверенные добавлен, и никаких предупреждений не писали. FF (тогда еще в районе 20-х или 30-х версий) тоже не писал, но туда нужно было сертификат отдельно добавлять. Хромой (правда, емнип, не корпоративная, а обычная версия) один раз предупреждал, что злобный админ устроил тут SSL MITM, так что работайте на свой страх и риск, но дальше работал нормально.

Если на машине никто не добавлял СА в доверенные, то да, будут орать все.

infine
()
Ответ на: комментарий от dikiy

как понять, есть ли EV-сертификат?

Он зеленый в Firefox. Прокси его подменит на не зеленый.

AEP ★★★★★
()
Ответ на: комментарий от r_a_vic

Что лишний раз доказывает, что одними только техническими методами социальные проблемы не решаются. Т.к. руководство может издать приказ «всем вставить mitm» и вставят.

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Нет. Это доказывает только то, что текущие технические методы не совершенны.

buggycoder
()
Ответ на: комментарий от dikiy

зачем они это делают?

Чтоб сразу отлавливать почтовые трояны. Еще до того, как любители бездумно позапускать все, пришедшее по почте, их увидят.

Kuzz ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.