Comment faire pour que Firefox ignore toutes les erreurs de certification SSL?

23

Je suis sur un réseau privé avec beaucoup de restrictions et de contrôles. Chaque connexion HTTPS entraîne des erreurs de certification SSL (peut-être que ces personnes utilisent l'approche "homme au milieu" pour décrypter le trafic HTTPS dans le réseau?)

Jusqu'à présent, j'ai essayé les solutions de ces questions.

Mais dans mon cas, une exception doit encore être ajoutée à chaque fois que je visite un site sécurisé. De plus, pour certains sites, les ressources (telles que les images, les feuilles de style, les scripts) de différents domaines ne se chargent pas et les sites deviennent cassés et illisibles.

www.google.com utilise un certificat de sécurité non valide.

Le certificat n'est pas approuvé car le certificat de l'émetteur est inconnu. Le serveur peut ne pas envoyer les certificats intermédiaires appropriés. Il peut être nécessaire d'importer un certificat racine supplémentaire.

Code d'erreur: SEC_ERROR_UNknown_ISSUER

Pour Chrome, il existe un commutateur de ligne de commande non pris en charge --ignore-certificate-errors, mais il ignore Chrome toutes les erreurs de certification SSL. Y a-t-il quelque chose qui ferait la même chose dans Firefox? (J'utilise la dernière version de Firefox sur Windows 7)

Teiv
la source

Réponses:

28

Firefox n'a pas un tel paramètre.

C'est une réponse terriblement laconique, mais je crains que ce ne soit que cela. Firefox préfère généralement ne pas vous laisser voir un site du tout en cas de problème plutôt que de vous laisser le remplacer même si vous le souhaitez.

Cela dit, si vous recevez des avertissements de cert pour tout sur un réseau privé, il est presque certain que le groupe informatique local exécute un proxy d'interception SSL. Vous n'allez pas accéder à Internet sans accepter leur certificat, alors voici comment procéder:

  • Ouvrez les propriétés du certificat pour l'une des pages sur lesquelles vous obtenez une erreur (après avoir ajouté l'exception dans Firefox) en cliquant sur le verrou dans la barre d'adresse, sur la flèche droite, puis sur "plus d'informations".

  • Dans l'onglet Sécurité, cliquez sur Afficher le certificat, puis sur l'onglet Détails dans la nouvelle fenêtre.

  • Sous Hiérarchie des certificats, examinez le nom du certificat le plus haut . Cela proviendra probablement d'un fournisseur de sécurité d'une sorte comme Symantec ou Barracuda.

  • Cliquez dessus, puis accédez à Exporter en bas.

  • Enregistrez le fichier dans un endroit accessible

  • Fermez les fenêtres de sécurité et de certificat et ouvrez vos paramètres Firefox (menu hamburger en haut à droite, Options)

  • Cliquez sur Avancé en bas à gauche, puis sur Afficher les certificats

  • Cliquez sur l'onglet Autorités, puis sur Importer

  • Localisez le fichier que vous venez d'enregistrer

  • Acceptez l'avertissement.

Il est très important de ne pas prendre l'habitude d'effectuer cette procédure , et de ne le faire que lorsque vous savez avec une certitude COMPLÈTE que le certificat est légitime . Je ne saurais trop insister sur ce point - appelez les informaticiens et demandez-leur de vérifier le nom sur le certificat si vous n'êtes même pas certain, car vous venez de dire à Firefox d'accepter tous les certificats signés par l'autorité de certification que vous venez d'importer. Vous ne recevrez plus d'avertissements de ce type pour ce certificat. Si vous importez un certificat malveillant, vous venez de vous tirer une balle dans le pied.

Mikey TK
la source
MikeyT.K. la réponse est correcte - ce que vous faites - simplement - abdique le contrôle de votre connectivité à tout ce que MITM vous attaque. Une autre solution pourrait être d'utiliser un VPN avec un fournisseur qui vous permet d'utiliser OpenVPN avec la directive http-proxy pour tunneler Internet non altéré à travers le pare-feu restreint.
davidgo
2
@Mikey TK: J'ai essayé d'exporter le certificat depuis Reddit (par exemple) comme vous me l'avez dit. Mais quand je l'ai importé, Firefox a donné ce message d'erreur Ce n'est pas un certificat d'autorité de certification, il ne peut donc pas être importé dans la liste des autorités de certification . Voici la capture d'écran de l'exportation du certificat: Image
Teiv
1
@davidgo: Sur mon lieu de travail, des choses comme VPN, SSH, SOCKS, proxy HTTP ou même proxy Web entraîneront une interdiction instantanée du réseau et seule une demande officielle de mon responsable peut m'aider à accéder à nouveau au réseau.
Teiv
@davidgo Que dit l'émetteur sur ce certificat?
Mikey TK
1
Ne vérifiez pas seulement le nom; vérifier l'empreinte digitale du certificat. C'est beaucoup plus difficile à simuler.
un CVn du