1 votos

Problema de certificado SSL en Firefox, Ubuntu en una red de Windows detrás de un proxy

Mi problema: Los sitios habilitados con SSL (HTTPS) no se muestran correctamente en mi navegador Firefox. El equipo de red en la oficina dice que el problema se debe a que el servidor proxy no puede identificar correctamente mi sistema, y por lo tanto el intercambio de certificados en el servidor proxy no está funcionando como debería. Sitios HTTPS como los sitios de banca se muestran correctamente. Parece que estos sitios son omitidos por el proxy para evitar descifrar-encriptar las solicitudes. El equipo de red me ha proporcionado un archivo de certificado (.p12) para importar en Firefox, pero eso no ayuda.

Este problema solo ocurre en sistemas Linux. He ingresado el nombre de dominio correcto en el archivo smb.conf, para tener mi sistema en el dominio, pero eso tampoco me está ayudando.

Configuración: Estoy en una máquina Ubuntu 11.10 y uso el navegador Firefox 14. Estoy en una red de Windows en la oficina, detrás de un servidor proxy.

Cualquier información o pista será muy apreciada.

1voto

Bruno Puntos 505

El hecho de que obtengas un certificado diferente detrás de este proxy dentro de esta red y sin este proxy parece indicar que se trata de un proxy que inspecciona SSL (o "proxy MITM").

Un servidor proxy como este puede examinar el tráfico SSL/TLS encriptado al suplantar al servidor de destino. Hacen esto generando su propio certificado, reemplazando el del servidor genuino. Este tipo de certificado es emitido por una AC incrustada dentro del servidor proxy (que puede ser capaz de generar el certificado dinámicamente). Estos certificados son reconocidos por las estaciones de trabajo dentro de la red de la empresa (o similar, dondequiera que se instale ese servidor proxy), porque estas máquinas han sido configuradas para confiar en el certificado de la AC del servidor proxy además (o en lugar de) la lista predeterminada de certificados de la AC proporcionada con el sistema operativo o los navegadores.

(Podrías ver esto como un "ataque MITM legítimo", que en realidad no es un ataque, ya que la confianza en ese certificado AC adicional debe haber sido aprobada por los responsables de políticas locales y configurada por los administradores del sistema).

Es muy probable que la instalación de ese certificado AC haya sido realizada por el equipo de administradores del sistema en las máquinas con Windows, pero es posible que tu máquina Ubuntu haya quedado fuera (muy probable si la has instalado tú mismo). No se trata de que el servidor proxy no pueda identificar correctamente tu sistema; más bien es tu sistema el que no está configurado para confiar en tu servidor proxy.

Necesitarás instalar ese certificado AC tú mismo en tu máquina y en tu navegador. Puedes pedirle al equipo de redes ese certificado AC, o deberías ser capaz de exportarlo tú mismo desde un equipo con Windows: mira el certificado emisor de cualquiera de los sitios web que visitas desde una máquina donde la conexión funcione (normalmente accesible con algo como "ver detalles", dependiendo del navegador que estés usando allí), exportarlo (PEM/Base-64) e importarlo en tu máquina Linux.

Tendrás que importarlo en Firefox como una autoridad de confianza (Opciones/Preferencias -> Avanzado -> Encriptación -> Ver Certificados -> Autoridades -> Importar... y marca "confiar en este certificado AC" para identificar sitios web). Otras aplicaciones tienen repositorios diferentes de certificados AC: puede ser útil hacer una copia en /etc/ssl/certs/ también.

Por supuesto, el resultado es que quien esté a cargo de ese servidor proxy podrá ver el tráfico que estás intercambiando en cualquier sitio HTTPS que estés utilizando desde esa red, pero esto ya es el caso de cualquier máquina con Windows configurada de esta manera de todos modos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X