Полностью отключите проверку SSL-сертификата в Ubuntu

13

Я новичок в Linux и изучаю Linux на Ubuntu 18.0401 LTS, установленной на виртуальной коробке Oracle в системе компании. Компания имеет частную сеть прокси. Таким образом, все веб-сайты, которые я просматриваю на Ubuntu, проходят через прокси и получают сертификат SSL, выданный компанией. Когда я смотрю из chrome / firefox, он выдает ошибку, как не доверенный источник. Когда я захожу в> продвижение> добавить исключение, я могу некоторое время просматривать этот конкретный веб-сайт, а затем снова через какое-то время ту же ошибку (возможно, изменяются детали сертификата). По крайней мере, в браузере я могу просматривать такие усилия, но программное обеспечение Ubuntu даже не дает такого вариант, и я просто не могу загрузить любое программное обеспечение. Также CLI apt-get не работает. Может кто-нибудь сказать способ настроить таким образом, чтобы мы полностью обойти систему проверки SSL всей? что-то вроде --disable проверки сертификата ssl .. Чтобы я мог без проблем подключиться к интернету? (конечно, сайты, заблокированные прокси, все равно будут заблокированы)

Большое спасибо заранее !!

NK, энтузиаст Linux

PS: ниже ошибка на Firefox;

«Ваше соединение не защищено. Владелец support.mozilla.org неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не подключался к этому веб-сайту».

ssl certificates Нихил Кади
источник
Посмотрите здесь: askubuntu.com/a/94861/783023 - Я думаю, вам нужно только установить корневой сертификат вашей компании (или прокси вашей компании) - тогда у вас все будет хорошо. Имейте в виду, что некоторые приложения, такие как Firefox, имеют свои собственные хранилища ключей, поэтому ответ ниже также применим.
Роберт Ридл
1
Вероятно, это должно быть очевидно для тех, кто знаком с этим вопросом, но я все равно констатирую это. Установка корневого сертификата заставляет вас полностью доверять владельцу этого сертификата. Это означает, что указанный владелец может, например, в качестве посредника установить ваше соединение и расшифровать весь ваш трафик https, точно так же, как ваш браузер предупреждал вас, когда вы использовали прокси-сервер компании, не установив сертификат. Вы, вероятно, не можете избежать этого, если согласно ИТ-политике вашего работодателя вы должны использовать их прокси-сервер, но вы должны знать об этом и избегать передачи чего-либо личного (банковские операции, личные логины, ...)
Byte Commander
@ByteCommander, это очень верно. На самом деле, если я правильно интерпретирую OP, он в настоящее время (не злонамеренно) является посредником из-за прокси-службы, которая нарушает SSL. Кроме того, отключение SSL также сделает вас уязвимыми для атак «человек посередине».
Роберт Ридл
Спасибо за отзывы экспертов. Проблема в том, что ИТ-команда не выдаст мне сертификат, так как виртуальная коробка уже была выдана после стольких согласований. Они не будут беспокоиться, потому что я использую Ubuntu для самообучения, и для них ничего не застряло.
Нихил Кади

Ответы:

46

Полностью отключите проверку SSL-сертификата в Ubuntu

К счастью, это невозможно на самом деле, кроме повторной компиляции соответствующих приложений и отключения проверки сертификата в коде.

Надлежащим способом для продолжения является не отключение проверки, а добавление сертификата CA, используемого прокси-сервером, в качестве доверенного. Таким образом, вы можете использовать прокси без каких-либо предупреждений, но все равно не будете уязвимы для произвольного человека в середине атаки, как если бы вы отключили всю проверку.

Пожалуйста, спросите у сетевых администраторов правильный сертификат CA и затем установите его, как описано, например, здесь для Firefox (хотя этот конкретный сайт для Windows, то же самое с Firefox на Linux).

Штеффен Ульрих
источник
7

Правильный способ сделать это - добавить сертификаты CA, используемые прокси. Если их часто вращать, это действительно может раздражать. Чтобы установить сертификаты так, чтобы они использовались большинством приложений (в отличие от Firefox, который использует собственное хранилище сертификатов), выполните следующие действия:

  1. Получите сертификат (ы) в формате X.509 в кодировке Base64.
    Самый простой способ получить их через Chrome Via Settings, Advanced, Manage Certificatesна ИТ удался / автоматически обновляемой системы.
  2. Скопируйте их в /usr/local/share/ca-certificates
    (опционально создайте новую подпапку)
  3. Если расширение не .crt, переименуйте файлы.
  4. sudo update-ca-certificates

При повторении этого упражнения сертификаты могут не обновляться. Вы можете обойти это, сначала запустив.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

где [certificate-name]соответствует имени файла (ов) сертификатов без исходного расширения (.crt).

ПРИМЕЧАНИЕ. Протестировано под Ubuntu 16.04, но я ожидаю, что под 18.04 оно будет работать так же.

SensorSmith
источник