web-dev-qa-db-fra.com

Je ne peux pas accéder aux sites Web qui utilisent HTTPS, mais plutôt recevoir le message "votre connexion n'est pas privée"!

Je me suis retrouvé soudainement incapable d'accéder à des sites Web qui utilisent HTTPS, j'ai donc contacté mon fournisseur de services et ils m'ont demandé d'installer un certificat dans le magasin des autorités de certification racine de confiance. Mais quelque chose ne va pas: installer un certificat sur chaque appareil connecté au même réseau juste pour pouvoir accéder aux sites Web qui utilisent HTTPS est tout simplement bizarre! Comment puis-je être sûr que ce certificat est émis par une autorité de certification de confiance?

Lorsque j'ai essayé de l'installer, j'ai reçu le message suivant:

Avertissement: Si vous installez ce certificat racine, Windows approuvera automatiquement tout certificat émis par cette autorité de certification. L'installation d'un certificat avec une empreinte non confirmée est un risque pour la sécurité. Si vous cliquez sur "Oui", vous reconnaissez ce risque.

Voici les informations du certificat:

  • Version: V3
  • N ° de série: 00 f8 ab 36 f3 84 31 05 39
  • Signature algo: sha1RSA
  • Algo de hachage signature: sha1
  • Émetteur: AISS, Internet, Internet, Beyrouth, Beyrouth, LB
  • Sujet: AISS, Internet, Internet, Beyrouth, Beyrouth, LB
  • Clé publique: RSA (1024 bits)

Il est valable jusqu'en 2019.

Et au fait, je suis au Liban.

J'ai de nouveau contacté mon FAI et ils m'ont dit qu'ils utilisent une sorte d'accélérateur pour améliorer la vitesse, et qu'il a besoin d'authentification, ils ont donc choisi d'utiliser un certificat au lieu de faire entrer l'utilisateur un nom d'utilisateur et un mot de passe chaque fois qu'ils veulent accéder à des sites Web qui utilisent HTTPS. Et ils ont suggéré que si cela ne me convenait pas, ils me mettraient dans un nouveau pool. Alors, que dois-je faire?

114
Tarek

Bien que je ne connaisse pas les détails de votre FAI, je dirais qu'il est probable que ce qu'ils font ici intercepte tout le trafic que vous envoyez sur Internet. Pour ce faire (sans recevoir de messages d'erreur chaque fois que vous visitez un site crypté HTTPS), ils devraient installer un certificat racine, ce que vous mentionnez dans votre message.

Ils doivent le faire car ce que ce type d'interception implique généralement est de créer leur propre certificat pour chaque site que vous visitez. ainsi, par exemple, si vous visitez https://www.Amazon.com ils doivent avoir un certificat que votre navigateur considère valide pour cette connexion (qui est celui émis par une autorité de certification de confiance, l'un ou l'autre fourni) avec le navigateur ou celui que vous installez manuellement).

De votre point de vue, le problème est que cela signifie qu'ils peuvent voir tout votre trafic Internet, y compris les noms d'utilisateur/mots de passe/détails de carte de crédit. Donc, s'ils le souhaitent, ils peuvent consulter ces informations. De plus, s'ils ont une faille de sécurité, il est possible que d'autres personnes aient accès à ces informations. En outre, ils peuvent également accéder à tout compte auquel vous accédez via cette connexion Internet (par exemple, les comptes de messagerie). Enfin, l'installation de ce certificat racine leur permet de modifier votre trafic Internet sans détection.

Ce que je recommanderais, c'est que vous leur demandiez exactement pourquoi ils ont besoin de voir les détails de votre trafic crypté (par exemple, est-ce une exigence légale pour votre pays) et si vous n'êtes pas satisfait à 100% de la réponse, obtenez un nouveau FAI. Une autre possibilité est d'utiliser un VPN et de tunneler tout votre trafic via le VPN. Si vous n'êtes pas satisfait de la façon dont votre FAI obtient cet accès à vos connexions HTTPS, n'installez pas le certificat racine qu'il vous a fourni.

127
Rory McCune

Il s'agit d'une demande de leur rendre toute votre vie privée et votre sécurité.


C'est un problème technique très simple - ils ont bloqué les connexions HTTPS cryptées et sécurisées. Le "réactiver" en installant leur certificat vous permettra désormais d'utiliser des connexions cryptées et "sécurisées", mais cela donnera à votre FAI un accès complet pour afficher vos données en ligne, modifier tout ce que vous téléchargez (y compris l'insertion de portes dérobées) ou malware dans tout logiciel téléchargé), modifiez ou filtrez tout ce que vous téléchargez et obtenez toutes les informations d'identification en ligne (mots de passe, cookies, autres jetons de sécurité) que vous utilisez via HTTPS.

Ce n'est pas simplement un risque théorique potentiel. En fait, vous devez vous attendre à ce qu'ils fassent déjà tout ou partie de cela - c'est la seule raison pratique pour laquelle ils ont fait l'effort de bloquer et d'exiger leur certificat en premier lieu.

Seulement si vous souhaitez avoir cette connexion malgré les problèmes susmentionnés, vous pouvez accepter leur certificat. Un bon payant VPN peut être une solution, cependant, il est possible qu'ils bloquent également les VPN; il se peut que vous deviez choisir entre une connexion surveillée et non sécurisée contrôlée par quelqu'un d'autre et aucune connexion du tout.

51
Peteris

En effet, votre FAI lit tous vos messages.

Considérez votre connexion Internet comme une série de lettres envoyées par pony express. L'erreur que vous voyez est que votre navigateur se plaint que votre courrier a été ouvert par quelqu'un et refermé avec le mauvais sceau de cire plutôt que le sceau de cire attendu, par exemple Google.

Ce que votre FAI vous dit de faire, c'est de recycler votre navigateur pour traiter le sceau du FAI comme étant plus digne de confiance que le sceau de Google.

L'erreur est correcte. Il vous indique que votre FAI lit votre courrier. Ne fais pas ce qu'ils disent. Changez votre FAI maintenant.

15
Aron

Je suis d'accord que cela semble très douteux, mais j'ai peut-être une idée qui pourrait aider, je ne peux que supposer que vous utilisez vos serveurs DNS ISP, et je suppose que vous utilisez un routeur. Pourquoi ne pas simplement changer l'adresse IP de votre serveur DNS externe pour quelque chose comme Googles ouvrir les serveurs DNS 8.8.8.8 et 8.8.4.4. Si cela arrête le message d'erreur et en supposant que vous n'avez PAS installé le certificat ISP, vous savez que le problème est résolu. Il est très probable que c'est ainsi qu'ils contrôlent le trafic, de nombreuses personnes ne savent pas comment modifier manuellement leurs serveurs DNS et tout le monde doit utiliser DNS pour accéder à un site Web, cette idée pourrait donc aider.

De plus, vous pouvez utiliser un service VPN privé comme https://www.privateinternetaccess.com/ , je trouve que leur centre de données au Texas est génial, mais selon l'endroit où vous vous trouvez, vous aimerez peut-être un autre un, et ils fournissent un cryptage de bout en bout afin que cela puisse aussi aider. Tout cela dit, aller dans un nouveau FAI est le meilleur choix, la seule façon pour le FAI d'apprendre, sera quand ils verront leurs clients partir pour la compétition.

Bonne chance

8
Frank R

J'ai fait quelques recherches sur la loi libanaise sur la réglementation de l'Internet. Fondamentalement, votre ministre de l'Information, Walid Al-Daouq, a proposé une loi en 2012 (qui ne l'a pas fait) qui aurait mis fortement l'accent sur la liberté d'expression au Liban.

La loi a depuis été arrêtée, mais il est possible que votre FAI ait subi des pressions de la part du gouvernement pour surveiller le trafic Internet à l'échelle nationale afin de trouver des personnes menaçant la sécurité nationale. La loi libanaise a la censure pour les questions qui affectent la sécurité nationale, il n'est donc pas exagéré de supposer qu'ils demanderont aux FAI de surveiller toutes les formes de trafics.

Vous avez peut-être également entendu parler de Mia Khalifa. Elle a récemment été élue "star du porno numéro 1", et comme elle vient du Liban, le gouvernement n'est pas satisfait de cela. Sa popularité pourrait avoir quelque chose à voir avec la récente ruée vers la surveillance.

4
Nzall

S'ils l'ont fait, selon votre région, cela peut être considéré comme une violation des droits de l'homme au titre du "droit à la vie privée".

L'erreur que vous recevez est en fait un problème courant.

Celui à qui vous avez parlé de votre FAI peut ne pas savoir de quoi vous parlez et vous a simplement trompé en vous demandant d'installer des certificats.

Depuis que vous obtenez cette erreur, avez-vous essayé de regarder votre horloge sur votre ordinateur? S'il n'est pas défini correctement, l'heure sur les certificats (qui sont définis en fonction de l'heure de l'autorité de certification) ne sera pas la même sur vos machines, vous invitant donc avec un message tel que "votre trafic n'est pas sécurisé".

N'autorisez pas simplement les certificats car cela va à l'encontre de l'objectif, et si vous ne savez pas ce que vous faites, vous pouvez faire des erreurs qui vous coûteront!

C'est le travail d'une autorité de certification, telle que Verisign, de le vérifier et tout ce que vous devez faire est de vous assurer que vos systèmes ne sont pas compromis et que vous réglez votre horloge.

1
Rio Hazuki