Ubuntu'da SSL sertifikası doğrulamasını tamamen devre dışı bırak


13

Ben Linux için yeni ve şirket sisteminde oracle virtualbox yüklü Ubuntu 18.0401 LTS üzerinde Linux öğrenme. Şirketin özel proxy ağı vardır. Bu yüzden ubuntu'ya göz attığım tüm web siteleri proxy üzerinden geçiyor ve şirket tarafından verilen ssl sertifikası alıyor. Chrome / firefox'tan göz attığımda güvenilir bir kaynak gibi hata veriyor. İstediğiniz zaman> ilerlemek> istisna eklemek için belirli bir web sitesine bir süre göz atabilirim ve sonra bir süre sonra aynı hata (muhtemelen sertifika ayrıntıları değişir) En az tarayıcıda böyle bir çabadan sonra göz atabilirim ama Ubuntu yazılımı bile böyle vermez seçeneğini kullanarak herhangi bir yazılım indiremiyorum. Ayrıca CLI apt-get dont çalışma. Birisi, SSL doğrulama sistemini tamamen atlayacağımız şekilde yapılandırmanın bir yolunu söyleyebilir mi? --disable ssl sertifika doğrulaması gibi bir şey. Böylece internete sorunsuz bir şekilde bağlanabiliyorum? (tabii ki proxy tarafından engellenen web siteleri yine de engellenir)

Şimdiden bir ton teşekkürler !!

NK, Linux tutkunu

Not: Aşağıda firefox'ta hata var;

"Bağlantınız güvenli değil support.mozilla.org sahibi web sitelerini yanlış yapılandırdı. Bilgilerinizin çalınmasını önlemek için Firefox bu web sitesine bağlanmadı."


Buraya bakın: askubuntu.com/a/94861/783023- Sanırım sadece şirketinizin (veya şirketinizin vekilinin) kök sertifikasını yüklemeniz gerekiyor - o zaman iyi olmalısınız. Firefox gibi bazı uygulamaların kendi anahtar depolarına sahip olduğunu unutmayın, bu nedenle aşağıdaki cevap da geçerlidir.
Robert Riedl

1
Muhtemelen konuyu bilenler için açık olmalı, ama yine de söyleyeceğim. Kök sertifika yüklemek, bu sertifikanın sahibine tamamen güvenmenizi sağlar. Bu, örneğin sahibinin bağlantınızı ortadan kaldırabileceği ve tüm https trafiğinizin şifresini çözebileceği anlamına gelir; tıpkı tarayıcınızın sertifikayı yüklemeden şirket proxy'sini kullandığınızda sizi uyardığı gibi. Muhtemelen işvereninizin BT politikası ise, proxy'lerini kullanmanız gerektiğinden kaçınamazsınız, ancak bunun farkında olmanız ve kişisel bir şey (bankacılık, özel girişler, ...) iletmekten kaçınmalısınız
Bayt Komutanı

@ByteCommander, bu çok doğru. Aslında, OP'yi doğru şekilde yorumluyorsam, şu anda (kötü niyetli olarak değil) SSL'yi bozan proxy hizmeti nedeniyle ortadaki adam. Ayrıca, SSL'yi devre dışı bırakmak da sizi ortadaki adam saldırılarına karşı savunmasız hale getirecektir.
Robert Riedl

Yanıt uzmanları için teşekkür ederiz. Sorun BT ekibinin bana sertifika vermeyeceği, çünkü sanal kutu zaten birçok onaydan sonra verildi. Onlar kendi kendine öğrenme amacıyla Ubuntu kullanıyorum ve hiçbir şey onlar için sıkışmış çünkü rahatsız olmaz.
Nikhil Kadi

Yanıtlar:


47

Ubuntu'da SSL sertifikası doğrulamasını tamamen devre dışı bırak

Neyse ki, ilgili uygulamaları tekrar derlemek ve kodda sertifika doğrulamayı devre dışı bırakmak dışında gerçekten mümkün değil.

Devam etmenin uygun yolu, doğrulamayı devre dışı bırakmak değil, proxy tarafından kullanılan CA sertifikasını güvenilir olarak eklemektir. Bu şekilde proxy'yi herhangi bir uyarı yapmadan kullanabilirsiniz, ancak tüm doğrulamayı devre dışı bırakırsanız, orta saldırılardaki keyfi adamlara karşı hala savunmasız değilsiniz.

Lütfen ağ yöneticilerinizden uygun CA sertifikasını isteyin ve ardından örneğin Firefox için burada açıklandığı şekilde yükleyin (bu belirli site Windows için olsa da, Linux'ta Firefox ile aynıdır).


7

Bunun için doğru yol, proxy tarafından kullanılan CA sertifikalarını eklemektir. Sık sık döndürülürlerse bu gerçekten sinir bozucu olabilir. Sertifikaları çoğu uygulama tarafından kullanılacak şekilde kurmak için (kendi sertifika deposunu kullanan Firefox'un aksine) aşağıdakileri yapın:

  1. Sertifikaları Base64 kodlu X.509 formatında edinin.
    Onları elde etmek kolay bir yolu Chrome üzerinden geçer Settings, Advanced, Manage Certificatesbir BT / otomatik olarak güncellenen bir sistem yönetilen üzerinde.
  2. Bunları şuraya kopyalayın /usr/local/share/ca-certificates
    (İsteğe bağlı olarak yeni bir alt klasör oluşturun)
  3. Uzantı .crt değilse dosyaları yeniden adlandırın.
  4. sudo update-ca-certificates

Bu egzersizi tekrarlarken sertifikalar güncellenmeyebilir. Önce koşarak bu sorunu çözebilirsiniz.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

Burada [certificate-name], orijinal (.crt) uzantısı olmayan sertifikaların dosya adlarıyla eşleşir.

NOT: Ubuntu 16.04 altında test edilmiştir, ama beklemek o 18.04 altında aynı davranacaktır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.