Deshabilitar totalmente la validación de certificados SSL en Ubuntu

13

Soy nuevo en Linux y estoy aprendiendo Linux en Ubuntu 18.0401 LTS instalado en Oracle VirtualBox en el sistema de la compañía. La empresa tiene una red proxy privada. Entonces, todos los sitios web que busco en Ubuntu pasan a través del proxy y obtienen el certificado SSL emitido por la empresa. Cuando navego desde Chrome / Firefox me da un error como si no fuera una fuente confiable. Cuando voy a> avance> agregar excepción, puedo navegar en ese sitio web en particular durante un tiempo y luego nuevamente después de algún tiempo el mismo error (probablemente cambios en los detalles del certificado) Al menos en el navegador puedo navegar después de ese esfuerzo, pero el software Ubuntu ni siquiera da opción y simplemente no puedo descargar ningún software. También CLI apt-get no funciona. ¿Alguien puede decir una manera de configurar de tal manera que omitamos completamente el sistema de validación SSL? algo así como --deshabilitar la validación del certificado SSL. ¿Para poder conectarme sin problemas a internet? (por supuesto, los sitios web bloqueados por proxy seguirán bloqueados)

Muchas gracias de antemano!

NK, entusiasta de Linux

PD: a continuación se muestra el error en Firefox;

"Su conexión no es segura. El propietario de support.mozilla.org ha configurado su sitio web incorrectamente. Para proteger su información de ser robada, Firefox no se ha conectado a este sitio web".

Nikhil Kadi
fuente
Mira aquí: askubuntu.com/a/94861/783023- Creo que solo necesitas instalar el certificado raíz de tu empresa (o el proxy de tu empresa), entonces deberías estar bien. Tenga en cuenta que algunas aplicaciones, como Firefox, tienen sus propios almacenes de claves, por lo que la respuesta a continuación también se aplica.
Robert Riedl
1
Probablemente debería ser obvio para aquellos familiarizados con el asunto, pero lo voy a decir de todos modos. Instalar un certificado raíz te hace confiar completamente en el propietario de ese certificado. Esto significa que dicho propietario puede, por ejemplo, man-in-the-middle su conexión y descifrar todo su tráfico https, tal como su navegador le advirtió cuando utilizó el proxy de la compañía sin haber instalado el certificado. Probablemente no pueda evitar eso si es la política de TI de su empleador que debe usar su proxy, pero debe tenerlo en cuenta y evitar transmitir cualquier cosa personal (banca, inicios de sesión privados, ...)
Byte Commander
@ByteCommander, esto es muy cierto. De hecho, si estoy interpretando OP correctamente, actualmente es (no maliciosamente) un hombre medio, debido al servicio de proxy que rompe SSL. Además, deshabilitar SSL también lo hará vulnerable a los ataques de hombre en el medio.
Robert Riedl
Gracias por las respuestas de los expertos. El problema es que el equipo de TI no me dará un certificado, ya que la caja virtual ya se ha otorgado después de tantas aprobaciones. No se molestarán porque estoy usando Ubuntu con fines de autoaprendizaje y no hay nada atascado para ellos.
Nikhil Kadi

Respuestas:

46

Deshabilitar totalmente la validación de certificados SSL en Ubuntu

Afortunadamente, eso no es realmente posible, aparte de volver a compilar las aplicaciones relevantes y deshabilitar la validación de certificados en el código.

La forma correcta de proceder no es deshabilitar la validación sino agregar el certificado de CA utilizado por el proxy como confiable. De esta forma, puede usar el proxy sin advertencias, pero aún no es vulnerable a los ataques arbitrarios del hombre en el medio, como lo sería si deshabilita toda la validación.

Solicite a sus administradores de red el certificado de CA adecuado y luego instálelo como se describe, por ejemplo, aquí para Firefox (aunque este sitio específico es para Windows, es lo mismo con Firefox en Linux).

Steffen Ullrich
fuente
7

La forma correcta de hacerlo es agregar los certificados de CA utilizados por el proxy. Si se giran con frecuencia, esto puede llegar a ser molesto. Para instalar los certificados de modo que la mayoría de las aplicaciones los usen (a diferencia de Firefox que usa su propio almacén de certificados), haga lo siguiente:

  1. Obtenga los certificados en formato X.509 codificado en Base64.
    Una manera fácil de obtenerlos es a través de Chrome a través de Settings, Advanced, Manage Certificatesen un sistema de TI administrado / auto-actualización.
  2. Cópielos en /usr/local/share/ca-certificates
    (Opcionalmente haga una nueva subcarpeta)
  3. Si la extensión no es .crt, cambie el nombre de los archivos.
  4. sudo update-ca-certificates

Al repetir este ejercicio, los certificados podrían no actualizarse. Puede solucionar esto ejecutando primero.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

donde [certificate-name]coincide con los nombres de archivo de los certificados sin la extensión original (.crt).

NOTA: Probado en Ubuntu 16.04, pero espero que se comporte igual en 18.04.

SensorSmith
fuente