我突然发现自己无法访问使用HTTPS的网站,因此我与服务提供商联系,他们要求我在“受信任的根证书颁发机构”存储中安装证书。但是有一点不对:在连接到同一网络的每个设备上安装证书只是为了能够访问使用HTTPS的网站,这很奇怪!如何确定此证书是由受信任的CA颁发的?

当我尝试安装它时,收到以下消息:


警告:如果安装此根证书,则Windows将自动信任此CA颁发的任何证书。安装带有未经确认指纹的证书存在安全风险。如果单击“是”,则表明存在这种风险。


以下是证书信息:


版本:V3
序列号:00 f8 ab 36 f3 84 31 05 39
签名算法:sha1RSA
签名哈希算法:sha1
发行人:ISSA,Internet,Internet,贝鲁特,贝鲁特,LB
主题: ISSA,Internet,Internet,贝鲁特,贝鲁特,LB
公钥:RSA(1024位)

有效期至2019年。

顺便一提,我我在黎巴嫩。

我再次联系我的ISP,他们告诉我他们正在使用某种加速器来提高速度,并且需要身份验证,因此他们选择使用证书来代替要求用户每次访问使用HTTPS的网站时输入用户名和密码。他们建议,如果我对此不满意,他们会把我放到新的游泳池里。那我该怎么办?

评论

听起来有点狡猾。就像您的ISP正在使您的HTTPS狡猾。哪个国家/ ISP?您可以给我们提供证书的详细信息吗?

是的-ISP正在执行MITM

哇,好可怕。用外行的话来说,您的ISP要求您在计算机上安装后门,以便他们可以监视和/或修改您的网络流量以保护(HTTPS)网站。如果安装此证书,则ISP可以读取您通过Internet在安全站点上发送的所有信息。没事其中包括密码,银行帐号等。请注意,对于常规的不安全(HTTP)流量,除非您使用VPN,否则它们已经具有此功能。

您的ISP告诉您的只是事实的一半!他掩盖了一个事实,那就是为了加速您的互联网,他将使用证书对您的所有安全流量进行解密,并对其进行读取以对其进行压缩。这样做(现在)可能是出于良好的意图(为ISP节省了一些基础架构费用)-但这意味着您正在向系统和私有数据开放,使其受到一系列攻击,并可能出售私有数据
不允许回答...只是想补充一下,实际上某些ISP这样做时没有恶意。从O2(德国)回来,我有一阵UMTS棒。为了提供“良好的浏览体验”,他们拦截了我所有的流量,以将所有图像重新编码为较低的质量,以节省带宽。您的ISP可能正在尝试类似的操作。尝试与他们联系以告知他们您不希望此项服务。

#1 楼

虽然我不知道您的ISP的详细信息,但我想说的是,他们在这里所做的很可能会拦截您通过Internet发送的所有流量。为了做到这一点(每次访问HTTPS加密站点时都不会收到错误消息),他们需要安装根证书,这就是您在帖子中提到的内容。

他们需要这样做这种拦截通常需要为您访问的每个站点创建自己的证书。因此,例如,如果您访问https://www.amazon.com,则它们需要拥有一个浏览器认为对该连接有效的证书(该证书是由受信任的证书颁发机构颁发的,该证书随浏览器提供,也可以由您手动创建安装)。

从您的角度来看,这里的问题是,它们意味着他们可以看到您的所有Internet通信,包括用户名/密码/信用卡详细信息。因此,如果他们愿意,他们可以查看该信息。同样,如果他们有安全漏洞,其他人也可能会访问该信息。此外,他们还可以访问您通过此Internet连接访问的任何帐户(例如,电子邮件帐户)。最后,安装此根证书后,他们无需检测就可以修改您的Internet流量。这是您所在国家/地区的法律要求),如果您对响应不满意,则请获取新的ISP。另一种可能性是使用VPN并通过VPN传输所有流量。如果您对ISP获得对HTTPS连接的这种访问权限感到不满意,请不要安装他们提供给您的根证书。

评论


请注意,即使您没有安装根证书,ISP的这种行为也可能表明他们已经在监视未加密的HTTP流量(即使在没有安装证书或忽略证书的情况下也无法监视HTTPS流量)浏览器的安全警告)。

– Ajedi32
15年2月2日在20:35

同样,他们似乎要求您通过阻止所有SSL流量来获得他们的中间人证书,直到您这样做为止。这是严重的侵害。我现在去买另一个供应商。哦,如果仍然可以的话,去获得TOR。

–埃里克·劳埃德(Eric Lloyd)
2015年2月2日在22:06

不要忘记检查TOR的cheksum,以确保它们也没有拦截它

– Freedo
2015年2月2日在22:43

@Freedom:反对什么? HTTP站点上已发布的校验和可能已被篡改,HTTPS上的已校验和被阻止。如果OP发布邮政地址,则有人可能会向他邮寄一些校验和,但仍可能是ISP,政府,特勤局或其他变相的人。没有任何类型的信任锚就很难建立信任。在足够不同的论坛中使用足够不同的协议(HTTP,IRC,新闻,邮件)提供足够的不同指纹的人可能会减少一致性篡改的可能性,但是您可以肯定地说,自己无法阅读所有TOR来源吗?

– MvG
15年2月3日,凌晨1:40

@Freedom有多种方法可以在MITM代理级别“查找和替换” Internet上所有有效的哈希值以及受污染的软件包。

– Nanofarad
2015年2月3日,11:22

#2 楼

这是向您交出所有隐私和安全性的请求。


这是一个非常简单的技术问题-他们阻止了加密的安全HTTPS连接。现在,通过安装其证书来“重新启用”它,将使您可以使用加密和“安全”的连接,但是它将为您的ISP提供完全访问权限,以查看您的在线数据,修改您下载的所有内容(包括在任何下载的软件中插入后门或恶意软件) ,修改或过滤您上传的所有内容,并获取您通过HTTPS使用的所有在线访问凭据(密码,cookie,其他安全令牌)。

这不仅仅是潜在的理论风险。实际上,您应该期望他们已经在做部分或全部这-这是他们首先努力阻止并要求其证书的唯一实际原因。要在出现上述问题的情况下保持此连接,则可以接受其证书。付费的VPN可能是一种解决方案,但是,它们也可能会阻塞VPN。在某些情况下,您必须在由他人控制的受监视和不安全的连接之间选择,而根本没有连接。

评论


如果它们阻止VPN或VPN端口,是否可以通过端口80设置(个人)VPN(服务器)并使用它?

– SPRBRN
2015年2月3日,11:10

@SPRBRN是的,但这将毫无意义。如果VPN服务器在本地网络上运行,则与不使用VPN时一样,ISP会对其进行完全相同的监视和限制。

– Ajedi32
2015年2月3日,14:49

使用与客户端在同一网络上的VPN服务器本身是毫无意义的。 VPN服务器应位于由VPN提供商托管或托管在个人VPS中的其他位置。最后一个选项将使其可以在该服务器的端口80上运行。那是我的建议。该流量是允许的。在该服务器的端口80而不是端口22上运行SSH服务器将是相同的。

– SPRBRN
2015年2月3日,15:02

@SPRBRN啊,我明白了。您在谈论通过通过端口80(而不是通常的端口)连接到VPN来绕过该块,而不是在本地网络上建立个人VPN。很抱歉对于这个误会。

– Ajedi32
15年2月3日,15:05

“这是他们首先努力进行阻止和证书处理的唯一实际原因”从OP的编辑看来,OP的ISP引用了进行此类MITM的另一种实际原因。

– Ajedi32
2015年2月3日15:06

#3 楼

实际上,您的ISP正在读取您的所有邮件。

将您的互联网连接视为通过小马快递发送的一系列信件。您所看到的错误是浏览器抱怨有人打开了您的邮件,并用不正确的蜡封(例如Google的蜡封)重新密封了邮件。要做的是对您的浏览器进行再培训,以使其比Google的印章更值得信赖ISP印章。

错误是正确的。它告诉您ISP正在读取您的邮件。不要按他们说的做。立即更改您的ISP。

#4 楼

我同意这听起来很狡猾,但是我可能有一个想法可能会有所帮助,我只能假设您正在使用ISP DNS服务器,而我假设您正在使用路由器。为什么不只将外部DNS服务器的IP地址更改为类似Google的开放DNS服务器8.8.8.8和8.8.4.4。如果这样可以停止错误消息,并假定您尚未安装ISP证书,则说明问题已解决。他们很可能是通过这种方式来控制流量,许多人不知道如何手动更改其DNS服务器,并且每个人都需要使用DNS来访问网站,因此此想法可能会有所帮助。

此外,您还可以使用https://www.privateinternetaccess.com/之类的Private VPN服务,我发现他们在德克萨斯州的数据中心很棒,但是根据您所在的位置,您可能会喜欢另一种方式,它们提供了端到端加密,因此也可能会有所帮助。综上所述,选择新的ISP是最好的选择,而ISP学习的唯一方法就是看到客户离开竞争。

祝你好运

评论


黑客入侵的路由器通过狡猾的DNS发送所有流量时,我们也遇到了同样的问题。

–马修·洛克(Matthew Lock)
2015年2月6日,0:35

#5 楼

我对《黎巴嫩互联网管理法》做了一些研究。基本上,您的新闻部长Walid Al-Daouq在2012年提出了一项法律(没有通过),该法律将对黎巴嫩的言论自由施加巨大压力。

自从被停止以来,但您的ISP可能已受到政府的压力,要求在全国范围内监视Internet流量,以便找到威胁国家安全的人员。黎巴嫩法律对影响国家安全的事务进行了审查,因此可以毫不费力地假设他们将要求ISP监视所有形式的交易。

您可能还听说过Mia Khalifa。最近她被选为“色情明星第一名”,而且由于她来自黎巴嫩,因此政府对此并不满意。她的受欢迎程度可能与最近对监视的热衷有关。

评论


[需要引用](我不同意您的看法,我只是认为您的回答会更好地引用或链接到您研究中的信息)

–IQAndreas
15年2月8日在20:29

#6 楼

如果他们这样做了,则视您所在的地区而定,这可能会被视为“私人生活权”下的侵犯人权行为。

您收到的错误实际上是一个常见问题。

无论您与ISP进行过什么交谈,他们可能都不知道您在说什么,而只是使您无法要求安装证书。

由于出现此错误,您是否尝试过查看计算机上的时钟?如果未正确设置,则证书的时间(根据证书颁发机构的时间设置)在您的计算机上将是不同的,因此会提示您诸如“您的流量不安全”之类的消息。

不要简单地允许使用证书,因为这样做会违背目的,如果您不知道自己在做什么,那么会犯错误,这将使您付出代价!

证书颁发机构(例如Verisign)进行验证的工作,而您要做的就是确保您的系统不受到损害并设置时钟。

评论


+1虽然我认为您的语气有点不可取(不要尝试在其中加入意识形态,也不要轻视他人的贡献,尤其是如果他们发现很多反对意见的话),但我绝对同意应该首先检查最简单的错误源。不正确的系统时钟使我之前遇到了确切的问题!

–多米
2015年2月3日14:48在

当这样做完全不合逻辑时,人们迫切需要停止抱怨“权利”。

–轨道轻度竞赛
2015年2月4日在16:28



时钟偏差会导致每个证书看起来都已过期-在问题中没有迹象表明这一点。

– 200_success
15年2月8日在18:12