Désactiver totalement la validation du certificat SSL dans Ubuntu

13

Je suis nouveau sur Linux et j'apprends Linux sur Ubuntu 18.0401 LTS installé sur Oracle Virtualbox sur le système de l'entreprise. La société dispose d'un réseau proxy privé. Ainsi, tous les sites Web que je consulte sur Ubuntu passent par un proxy et obtiennent un certificat SSL délivré par la société. Lorsque je navigue depuis Chrome / Firefox, il donne une erreur comme pas une source fiable. Lorsque je vais à> avancer> ajouter une exception, je peux parcourir ce site Web particulier pendant un certain temps, puis à nouveau après un certain temps, la même erreur (probablement les détails du certificat changent). et je ne peux tout simplement pas télécharger de logiciel. CLI apt-get ne fonctionne pas non plus. Quelqu'un peut-il dire un moyen de configurer une telle manière que nous contournons complètement le système de validation SSL à l'échelle? quelque chose comme --désactiver la validation du certificat SSL. Pour que je puisse me connecter en toute transparence à Internet? (bien sûr, les sites Web bloqués par proxy seront toujours bloqués)

Merci une tonne à l'avance !!

NK, passionné de Linux

PS: Ci-dessous l'erreur sur Firefox;

"Votre connexion n'est pas sécurisée. Le propriétaire de support.mozilla.org a mal configuré son site Web. Pour protéger vos informations contre le vol, Firefox ne s'est pas connecté à ce site Web."

Nikhil Kadi
la source
Jetez un œil ici: askubuntu.com/a/94861/783023- Je pense que vous avez seulement besoin d'installer le certificat racine de votre entreprise (ou le proxy de votre entreprise) - alors ça devrait aller. Gardez à l'esprit que certaines applications, comme Firefox, ont leurs propres magasins de clés, donc la réponse ci-dessous s'applique également.
Robert Riedl
1
Cela devrait probablement être évident pour ceux qui connaissent la question, mais je vais le dire quand même. L'installation d'un certificat racine vous fait entièrement confiance au propriétaire de ce certificat. Cela signifie que le propriétaire peut par exemple gérer votre connexion et décrypter tout votre trafic https, tout comme votre navigateur vous a averti lorsque vous avez utilisé le proxy de l'entreprise sans avoir installé le certificat. Vous ne pouvez probablement pas éviter que si c'est la politique informatique de votre employeur que vous devez utiliser son proxy, mais vous devez en être conscient et éviter de transmettre quoi que ce soit de personnel (bancaire, identifiants privés, ...)
Byte Commander
@ByteCommander, c'est très vrai. En fait, si j'interprète correctement OP, il est actuellement (pas malicieusement) man-in-the-middled, en raison du service proxy qui rompt SSL. De plus, la désactivation de SSL vous rendra également vulnérable aux attaques de l'homme du milieu.
Robert Riedl
Merci pour les réponses des experts. Le problème est que l'équipe informatique ne me donnera pas de certificat, car la boîte virtuelle a déjà été donnée après tant d'approbations. Ils ne dérangeront pas parce que j'utilise Ubuntu à des fins d'auto-apprentissage et rien n'est coincé pour eux.
Nikhil Kadi

Réponses:

46

Désactiver totalement la validation du certificat SSL dans Ubuntu

Heureusement, cela n'est pas vraiment possible à part la compilation des applications pertinentes et la désactivation de la validation des certificats dans le code.

La bonne façon de procéder n'est pas de désactiver la validation mais d'ajouter le certificat CA utilisé par le proxy comme approuvé. De cette façon, vous pouvez utiliser le proxy sans aucun avertissement, mais vous n'êtes toujours pas vulnérable aux attaques arbitraires de l'homme au milieu, comme vous le feriez si vous désactivez toute validation.

Veuillez demander à vos administrateurs réseau le certificat CA approprié, puis installez-le comme décrit par exemple ici pour Firefox (bien que ce site spécifique soit pour Windows, il en est de même pour Firefox sur Linux).

Steffen Ullrich
la source
7

La bonne façon de procéder consiste à ajouter le ou les certificats CA utilisés par le proxy. S'ils tournent fréquemment, cela peut en effet devenir gênant. Pour installer les certificats de manière à ce qu'ils soient utilisés par la plupart des applications (contrairement à Firefox qui utilise son propre magasin de certificats), procédez comme suit:

  1. Obtenez le ou les certificats au format X.509 codé en Base64.
    Un moyen facile de les obtenir est par Google Chrome via Settings, Advanced, Manage Certificatessur une gestion informatique / système automatique mis à jour.
  2. Copiez-les dans /usr/local/share/ca-certificates
    (créez éventuellement un nouveau sous-dossier)
  3. Si l'extension n'est pas .crt, renommez les fichiers.
  4. sudo update-ca-certificates

Lors de la répétition de cet exercice, les certificats peuvent ne pas être mis à jour. Vous pouvez contourner ce problème en exécutant d'abord.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

[certificate-name]correspond au (x) nom (s) de fichier des certificats sans l'extension d'origine (.crt).

REMARQUE: testé sous Ubuntu 16.04, mais je m'attends à ce qu'il se comporte de la même manière sous 18.04.

SensorSmith
la source