Firefox 为什么/如何绕过我雇主的 SSL 解密?

信息安全 tls 证书 网页浏览器 中间人 代理人
2021-08-25 18:48:12

我的雇主已经为公司内部的 Internet 访问设置了他们所谓的“SSL 解密”。我相信这是由 f5 设备提供的。他们在所有公司设备上安装了受信任的根证书,并使用它来终止传出的 https,与外部服务器建立自己的 https 连接,以明文形式拦截所有数据,并使用由其替代者签名的假证书重新加密根证书。所以,一切都是中间人。

通过在浏览器中查看证书路径,我可以看到这种拦截正在发生,我得到如下信息:

+- Acme Corporation Root CA
|
+--+- *
   |
   +--+- www.letsencrypt.org

以上对于 Internet Explorer 11 和 Chrome 65 都是正确的。但是,当我尝试 Firefox 59 时,我看到以下认证路径:

+- DST Root CA X3
|
+--+- Let's Encrypt Authority X3
   |
   +--+- www.letsencrypt.org

从中我了解到的是,火狐连接并没有被拦截和解密。(如果我在这里得出错误的结论,那么知道这将很有用。)

Firefox 在 Technical Details 下提供以下信息:

连接加密(TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,256 位密钥,TLS 1.2)

我找不到查看 IE 和 Chrome 使用哪个版本的 TLS 的方法。

Firefox 不会其受信任证书列表中显示任何已安装的企业根证书(因为它不使用 Windows 证书存储)。此外,security.enterprise_roots.enabled选项是false.

我的问题是,Firefox 为什么以及如何避免这种情况?Firefox 是否对我撒谎,并且连接实际上被拦截了?它是否使用了 f5 设备无法处理的不同版本的 TLS 或不同的密码套件?

请注意,我已阅读当网络已经拥有授权的 SSL 代理时,最终用户如何检测 SSL 欺骗的恶意尝试?它描述了类似的情况,但并没有真正的启发性。我还看到了Certificate Patrol插件,但它与 Firefox Quantum 不兼容。(有没有适用于现代 Firefox 的替代品?)

2个回答

这真的很简单,是您的雇主没有正确保护他们的网络。我猜他们添加了系统代理设置,或者他们将其他浏览器配置为使用他们的拦截代理,并且只有在您使用他们的代理时才会发生拦截,但他们没有设置网络防火墙来阻止不通过的流量代理。

Firefox 使用自己的证书存储,与您的操作系统使用的存储分开。大多数其他浏览器都使用系统一,您可以在答案中阅读。您可以在此处阅读他们网站上的 Mozilla 证书政策,最相关的部分是:

在分发 Firefox、Thunderbird 和其他 Mozilla 相关软件产品的二进制和源代码版本时,Mozilla 在此类软件中包含一组用于各种证书颁发机构 (CA) 的 X.509v3 根证书。

Mozilla 还有一个名为certutil的工具用于修改数据库。

相关:这个问题

其它你可能感兴趣的问题
上一篇Burpsuite:只需通过 firefox 检测门户 下一篇用于网页访问的 IP 白名单是否足够安全?