https://www.mozilla.org/时,“您的连接不安全”。
“ Firefox的所有者未正确配置其网站” 浏览了更多之后,我注意到Firefox不仅报告了Mozilla的错误。
Firefox报告了Google,Microsoft,Dropbox,GitHub, Wikipedia,LastPass,Netflix,Facebook,Twitter,Skype,WhatsApp,WolframAlpha,Amazon,LinkedIn,AutoHotkey,Yahoo,Imgur甚至是Stack Exchange。
有几件事值得注意有关这些错误的信息。
Google Chrome 59.0.3071.115或Internet Explorer 10.0.9200.22139均未报告列出的任何网站上的安全问题
在Firefox中加载的少数几个网站没有报告任何安全错误,包括Discover,Visa,Mastercard,Chase,American Express,Citibank,Capital One,美国银行,PayPal,Stripe,Intuit,Tre asuryDirect,iCloud *,Discord和YouTube。
(因此,大多数未报告任何安全错误的网站加载都与在线银行和金融有关)
我可以加载Mozilla的支持页面和Wells Fargo,而不会出现安全错误,但是这些页面呈现为文本,没有任何图像或格式
值得重申的是,这些安全错误是在工作发出的笔记本电脑上发生的,这意味着我的雇主最有可能扫描HTTPS流量。
尽管HTTPS扫描至少可以部分解释HTTPS安全错误,但这种情况仍然使我有些疑问。
为什么Firefox是唯一报告浏览器的原因这些安全性错误吗?
为什么Firefox无法在银行和金融网站上报告安全性错误?
为什么有些页面没有报告安全性错误,而只是以纯文本形式加载?
*注意:尽管iCloud并未报告任何安全性错误,但该页面最终却因连接错误而无法加载。
#1 楼
有很多东西需要解压,所以我会在这里做一些努力(基于某些假设)。Firefox维护自己的证书存储区,这很可能是只有Firefox抛出这些错误的原因。传统上,SysAdmins将通过组策略推出证书,该策略适用于Chrome和IE / Edge,但Firefox不信任它。我可以想象您的流量被检查您流量的透明代理服务器拦截(请注意,查看证书信息将显示这是否是您的工作推出的证书)。
,再次假设,但是您的工作可能没有明确过滤金融网站流量-大概是这样做避免了任何潜在的责任。
我不知道为什么要负担一些作为纯文本。这可能与代理过程有关。
编辑:正如Arminius指出的那样,以纯文本格式加载的页面很可能是由于从第三方域中提取资源而发生证书错误。图像和CSS可能没有加载,因为来自这些域的证书错误阻止了资源的传输。
评论
它们以纯文本格式加载的原因大概是资源(图像,CSS)是从不同的域中获取的,这些资源也将证书错误置于后台。
– Arminius
17年7月20日在15:15
@StevenVascellaro异常可能是通过DNS查找完成的,它不是加密流量的一部分。
– DKNUCKLES
17年7月20日在15:17
@StevenVascellaro第一个请求被代理拦截,捕获它“回退”存储会话的金融服务的URL,以免被拦截并照原样传输(根据我的见识,这是在外套和帕洛阿尔托系统中)。
–滕西拜
17年7月20日在15:23
@StevenVascellaro请求的内容已加密,但服务器地址未加密,或无法传递数据包(不过,可以加密指定从该服务器请求的页面的地址部分。)因此,他们可以拥有大量的金融网站,并且不会打扰他们的流量。
–雷
17年7月20日在21:14
在以前的公司中,我对代理具有相同的行为,该代理拦截了SSL通信,但排除了所有具有EV证书(扩展验证)的站点。由于几乎所有银行都在使用,银行站点没有被拦截。我猜这里也是一样。
–邓妮
17年7月21日在22:33
#2 楼
为什么Firefox是唯一报告这些安全性错误的浏览器?
正如已经说过的那样,Firefox使用自己的证书颁发机构存储,从公司的角度来管理它很困难,并且允许使用Chrome浏览器通常不值得。
Firefox为什么不报告银行和金融网站上的安全错误?
法律通常不允许通过透明代理进行HTTPS检查
为什么某些页面不报告安全性错误,而仅以纯文本形式加载?
通常(从所见即所得)是因为首页被归类为“不应被拦截”,就像金融网站一样(bluecoat列表中的Wells Fargo就是这种情况),但是图像来自来自另一个CDN,因此拦截会在CDN上触发,并且由于Firefox未知授权证书而无法加载图像。
评论
网站本身是否报告了“不应被拦截”状态,还是由提供商来确定哪些网站不被拦截?
– Stevoisiak
17年7月20日在15:24
列表由提供者定义,代理管理员可以在自己的一边扩展列表,如果需要,可以告诉提供者也扩展列表。 bluecoat列表的示例:sitereview.bluecoat.com/sitereview.jsp#/…
–滕西拜
17年7月20日在15:30
#3 楼
就我而言,Avast干扰了Firefox上正确的网站加载,但在其他浏览器上还不错。我取消了Web Shield设置中的“扫描安全连接”,并解决了我的问题。
评论
虽然在其他答案中提到了SSL检查的一部分,但这是一个特定的解决方案。感谢您的发布!
– schroeder♦
18/12/21在12:11
评论
将IE指向实际上具有损坏的SSL证书的页面,并抱怨您没有收到证书错误。那简直太搞笑了。 Mozilla不喜欢自己。
您可以在IE和/或Chrome上查看证书信息吗?特别是CA。
@NH:Firefox(默认情况下)认为“被您的雇主窥探”是“不安全的”。 Chrome和IE(在OP的工作笔记本电脑上)不会,因为(安装笔记本电脑的管理员已告诉他们)信任由雇主的侦听设备颁发的虚假SSL证书。
换句话说,Firefox完全可以阻止MITM攻击!