Nonaktifkan validasi sertifikat SSL di Ubuntu sepenuhnya

13

Saya baru mengenal Linux dan belajar Linux di Ubuntu 18.0401 LTS diinstal pada virtualbox oracle pada sistem perusahaan. Perusahaan memiliki jaringan proxy pribadi. Jadi semua situs web yang saya telusuri di ubuntu melewati proxy dan mendapatkan sertifikat ssl yang dikeluarkan oleh perusahaan. Ketika saya menelusuri dari chrome / firefox itu memberikan kesalahan seperti bukan sumber tepercaya. Ketika saya pergi ke> muka> menambahkan pengecualian, saya dapat menelusuri situs web tertentu untuk beberapa waktu dan kemudian lagi setelah beberapa kali kesalahan yang sama (mungkin perubahan rincian sertifikat) Di browser setidaknya saya dapat menelusuri setelah upaya seperti itu tetapi perangkat lunak Ubuntu bahkan tidak memberikan opsi dan saya sama sekali tidak dapat mengunduh perangkat lunak apa pun. CLI apt-get tidak berfungsi. Dapatkah seseorang memberi tahu cara untuk mengonfigurasi sedemikian rupa sehingga kami sepenuhnya mem-bypass sistem validasi ssl? sesuatu seperti - validasi ssl sertifikat ssl .. Sehingga saya dapat terhubung dengan mulus ke internet? (tentu saja situs web yang diblokir oleh proxy masih akan diblokir)

Terimakasih banyak sebelumnya!!

NK, penggemar Linux

PS: Di bawah ini adalah kesalahan pada firefox;

"Koneksi Anda tidak aman. Pemilik support.mozilla.org telah mengonfigurasi situs web mereka dengan tidak semestinya. Untuk melindungi informasi Anda agar tidak dicuri, Firefox belum terhubung ke situs web ini."

Nikhil Kadi
sumber
Lihat di sini: askubuntu.com/a/94861/783023- Saya pikir Anda hanya perlu menginstal sertifikat root perusahaan Anda (atau proxy perusahaan Anda) - maka Anda harus baik-baik saja. Ingatlah bahwa beberapa aplikasi, seperti Firefox, memiliki keystores sendiri sehingga jawaban di bawah ini juga berlaku.
Robert Riedl
1
Seharusnya jelas bagi mereka yang akrab dengan masalah ini, tapi aku akan menyatakannya pula. Memasang sertifikat root membuat Anda sepenuhnya mempercayai pemilik sertifikat itu. Ini berarti pemilik kata dapat mis-man-di-tengah-tengah koneksi Anda dan mendekripsi semua lalu lintas https Anda, seperti browser Anda telah memperingatkan Anda ketika Anda menggunakan proksi perusahaan tanpa menginstal sertifikat. Anda mungkin tidak dapat menghindarinya jika itu adalah kebijakan TI dari atasan Anda bahwa Anda harus menggunakan proxy mereka, tetapi Anda harus menyadarinya dan menghindari mentransmisikan sesuatu yang pribadi (perbankan, login pribadi, ...)
Byte Commander
@ ByteCommander, ini sangat benar. Bahkan, jika saya menafsirkan OP dengan benar, dia saat ini (tidak jahat) man-in-the-middled, karena layanan proxy yang melanggar SSL. Selain itu, menonaktifkan SSL juga akan membuat Anda rentan terhadap serangan man-in-the-middle.
Robert Riedl
Terima kasih atas tanggapan para ahli. Masalahnya adalah tim IT tidak akan memberi saya sertifikat, karena kotak virtual telah diberikan setelah begitu banyak persetujuan. Mereka tidak akan repot karena saya menggunakan Ubuntu untuk tujuan belajar mandiri dan tidak ada yang macet untuk mereka.
Nikhil Kadi

Jawaban:

46

Nonaktifkan validasi sertifikat SSL di Ubuntu sepenuhnya

Untungnya itu tidak benar-benar mungkin selain mengkompilasi aplikasi yang relevan lagi dan menonaktifkan validasi sertifikat dalam kode.

Cara yang tepat untuk melanjutkan bukan untuk menonaktifkan validasi tetapi untuk menambahkan sertifikat CA yang digunakan oleh proxy sebagai tepercaya. Dengan cara ini Anda dapat menggunakan proxy tanpa peringatan apa pun tetapi masih tidak rentan terhadap orang sewenang-wenang dalam serangan tengah seperti Anda jika Anda menonaktifkan semua validasi.

Silakan tanyakan kepada administrator jaringan Anda untuk sertifikat CA yang tepat dan kemudian instal seperti dijelaskan di sini untuk Firefox (walaupun situs khusus ini untuk Windows, sama dengan Firefox di Linux).

Steffen Ullrich
sumber
7

Cara yang benar tentang ini adalah dengan menambahkan sertifikat CA (s) yang digunakan oleh proxy. Jika mereka sering diputar ini mungkin memang mengganggu. Untuk menginstal sertifikat sehingga digunakan oleh sebagian besar aplikasi (tidak seperti Firefox yang menggunakan toko sertifikatnya sendiri), lakukan hal berikut:

  1. Dapatkan sertifikat dalam format X649 yang disandikan Base64.
    Cara mudah untuk mendapatkan mereka adalah melalui Chrome melalui Settings, Advanced, Manage Certificatespada dikelola IT system / auto-update.
  2. Salin ke /usr/local/share/ca-certificates
    (Secara opsional buat subfolder baru)
  3. Jika ekstensi tidak .crt, ganti nama file.
  4. sudo update-ca-certificates

Saat mengulang latihan ini, sertifikat mungkin tidak diperbarui. Anda dapat mengatasi ini dengan terlebih dahulu berlari.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

di mana [certificate-name]cocok dengan nama file sertifikat tanpa ekstensi (.crt) asli.

CATATAN: Diuji di bawah Ubuntu 16.04, tetapi saya berharap akan berperilaku sama di bawah 18.04.

SensorSmith
sumber