Bagaimana membuat Firefox mengabaikan semua kesalahan sertifikasi SSL?


23

Saya di jaringan pribadi dengan banyak pembatasan dan pemantauan. Setiap koneksi HTTPS menghasilkan kesalahan sertifikasi SSL (mungkin orang-orang itu menggunakan pendekatan "man-in-the-middle" untuk mendekripsi lalu lintas HTTPS dalam jaringan?)

Sejauh ini saya sudah mencoba solusi dari pertanyaan-pertanyaan ini.

Namun dalam kasus saya, pengecualian masih harus ditambahkan setiap kali saya mengunjungi situs yang diamankan. Juga untuk beberapa situs, sumber daya (seperti gambar, stylesheet, skrip) dari domain yang berbeda tidak akan dimuat dan situs menjadi rusak dan tidak dapat dibaca.

www.google.com menggunakan sertifikat keamanan yang tidak valid.

Sertifikat tidak dipercaya karena sertifikat penerbit tidak diketahui. Server mungkin tidak mengirim sertifikat perantara yang sesuai. Sertifikat root tambahan mungkin perlu diimpor.

Kode kesalahan: SEC_ERROR_UNKNOWN_ISSUER

Untuk Chrome, ada saklar baris perintah yang tidak didukung --ore-sertifikat-kesalahan tetapi itu membuat Chrome mengabaikan semua kesalahan sertifikasi SSL. Apakah ada hal yang akan melakukan hal yang sama di Firefox? (Saya menggunakan versi terbaru Firefox pada Windows 7)


Jawaban:


27

Firefox tidak memiliki pengaturan seperti itu.

Itu jawaban yang sangat singkat, tapi aku khawatir hanya itu yang ada. Firefox biasanya salah di sisi tidak membiarkan Anda melihat situs sama sekali jika terjadi beberapa masalah daripada membiarkan Anda menimpanya meskipun Anda mau.

Yang mengatakan, jika Anda mendapatkan peringatan cert untuk semua yang ada di jaringan pribadi, hampir pasti bahwa grup TI lokal menjalankan proxy intersepsi SSL. Anda tidak akan pergi ke internet tanpa menerima sertifikat mereka, jadi inilah cara Anda melakukannya:

  • Buka properti sertifikat untuk salah satu halaman tempat Anda mendapatkan kesalahan (setelah menambahkan pengecualian di Firefox) dengan mengklik kunci di bilah alamat, panah kanan, dan kemudian "informasi lebih lanjut".

  • Di tab Keamanan, klik Lihat Sertifikat, lalu tab Rincian di jendela baru.

  • Di bawah Hierarki Sertifikat, periksa nama sertifikat paling atas . Mungkin dari vendor keamanan semacam Symantec atau Barracuda.

  • Klik di atasnya, dan kemudian pergi ke Ekspor di bagian bawah.

  • Simpan file di tempat yang dapat diakses

  • Tutup jendela keamanan dan sertifikat, dan buka pengaturan Firefox Anda (menu hamburger kanan atas, Opsi)

  • Klik Tingkat Lanjut di kiri bawah, lalu klik Lihat Sertifikat

  • Klik tab Otoritas, dan kemudian Impor

  • Temukan file yang baru saja Anda simpan

  • Terima peringatan itu.

Sangat penting bagi Anda untuk tidak terbiasa melakukan prosedur ini , dan hanya melakukannya ketika Anda tahu dengan kepastian COMPLETE bahwa sertifikat itu sah . Saya tidak bisa cukup menekankan hal ini - panggil orang-orang IT dan minta mereka memverifikasi nama pada sertifikat jika Anda bahkan sedikit tidak yakin, karena sekarang Anda baru saja memberi tahu Firefox untuk menerima semua dan semua sertifikat bahwa CA yang baru saja Anda impor tandatangani. Anda tidak akan menerima peringatan seperti itu lagi untuk sertifikat ini. Jika Anda mengimpor sertifikat jahat, Anda baru saja menembak kaki Anda.


MikeyT.K. jawabannya benar - apa yang Anda lakukan - sederhananya - melepaskan kendali konektivitas Anda ke apa pun yang menyerang MITM Anda. Solusi lain mungkin menggunakan VPN dengan penyedia yang memungkinkan Anda menggunakan OpenVPN dengan arahan http-proxy untuk membuat terowongan Internet yang tidak terampuni melalui firewall yang dibatasi.
davidgo

2
@ Mike TK: Saya mencoba untuk mengekspor sertifikat dari Reddit (sebagai contoh) seperti yang Anda katakan kepada saya. Tetapi ketika saya mengimpornya, Firefox memberikan pesan kesalahan ini. Ini bukan sertifikat otoritas sertifikat, sehingga tidak dapat diimpor ke daftar otoritas sertifikat . Ini adalah screenshot dari ekspor sertifikat: Image
Teiv

1
@davidgo: Di tempat kerja saya, hal-hal seperti VPN, SSH, SOCKS, proxy HTTP atau bahkan proxy web akan menghasilkan larangan instan dari jaringan dan hanya permintaan resmi dari manajer saya yang dapat membantu saya mengakses jaringan lagi.
Teiv

@davidgo Apa kata Penerbit pada sertifikat itu?
Mikey TK

1
Jangan hanya memverifikasi nama; verifikasi sidik jari sertifikat. Itu jauh lebih sulit untuk dipalsukan.
CVn
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.