Mozilla: Kesalahan sec_error_unknown_issuer (pikiran keras-keras)

Pagi ini, setelah secangkir kopi cokelat panas , muncul ide di benak saya untuk mengubah browser Chrome saya yang biasa menjadi Firefox. Alasan untuk ini lebih mungkin bukan kopi, tetapi perlambatan browser saya baru-baru ini. Setelah peluncuran pertama, saya dengan curang memasukkan “google.ru” di bilah alamat dan melihat kesalahan berikut:



Browser bahkan tidak memberikan hak untuk mengabaikan kesalahan. Karena kebiasaan, hal pertama yang saya lakukan adalah melihat tanggal dan waktu. Setelah memastikan bahwa parameter waktu pada komputer diatur dengan benar, ia beralih ke sumber daya yandex.ru lain: Di sini segalanya



sedikit lebih baik, Firefox sudah menawarkan untuk menambahkan sertifikat ke repositori tepercaya. Di sini saya harus menghidupkan otak, karena Saya secara aktif menggunakan layanan Yandex.Money dan setiap kebocoran penting bagi saya. Pertama-tama, saya memutuskan untuk memeriksa apa yang sebenarnya tidak disukai peramban tentang sertifikat:



Tidak ada kepercayaan pada pihak yang mengeluarkan sertifikat. Dan gambar seperti itu di semua sumber daya di mana koneksi HTTPS aman digunakan.
Banyak teori:
Untuk menggunakan saluran komunikasi terenkripsi, browser Anda menggunakan protokol SSL (atau TLS) (HTTPS menggunakannya), yang, pada gilirannya, menggunakan sertifikat otentikasi. Sertifikat ini menyimpan informasi untuk mengenkripsi data dan untuk mengidentifikasi server WEB yang Anda akses. Selain semua informasi lain yang tersimpan dalam sertifikat (jenis enkripsi, nama alternatif, dll.), Kami tertarik pada kunci publik yang memecahkan masalah # 1 - enkripsi di jaringan terbuka dan informasi tentang pusat yang mengeluarkan sertifikat ini, yang memecahkan masalah # 2 - percaya pada kunci publik.

Saya akan jelaskan dengan contoh.

Skenario 1:

1. Layanan Yandex ingin mengatur saluran komunikasi yang aman dengan para penggunanya dan menghasilkan sepasang kunci (publik dan pribadi) untuk ini.
2. Sebagai klien layanan Yandex, saya menerima kunci publik darinya dan mengenkripsi semua datanya dengan itu. Pada saat yang sama, saya yakin bahwa hanya pemilik kunci pribadi yang dapat membaca data, dalam kasus kami, pemiliknya adalah layanan Yandex.
Dengan demikian, layanan Yandex menyelesaikan masalah enkripsi di jaringan terbuka.

Tetapi bagaimana jika virus Trojan tertentu berdiri di antara Anda dan layanan Yandex (misalnya, sebagai server proxy pass-through) ... ???

Skenario 2:

1. Trojan menerima kunci publik dari layanan Yandex.
2. Trojan menghasilkan sepasang kunci dan mentransfer bagian terbuka kepada Anda atas nama layanan Yandex.
3. Semua pesan yang ditujukan kepada Anda oleh layanan Yandex dicegat dan didekripsi oleh Trojan, dan Trojan, pada gilirannya, mengenkripsi data ini dengan kunci dari Yandex dan mentransfernya ke sana. Di sinilah masalah 2 muncul, yaitu, masalah mempercayai kunci publik .

Masalah ini diselesaikan oleh pihak ketiga yang dipercaya oleh layanan Yandex dan klien. Dalam hal ini, catatan menunjuk ke AtomPark Software Inc, yang mengeluarkan sertifikat keaslian yang sama untuk layanan Yandex.

Mari kita kembali ke sertifikat saya dan memastikan bahwa kami mempercayai pihak ketiga. Di bidang Common Name (CN) dari grup Issued By adalah entri AtomPark Software Inc. Tanda kepercayaan pertama untuk otoritas sertifikasi ini adalah keberadaan sertifikat akarnya di toko kepercayaan. Di Mozille, daftar ini dapat dibuka seperti ini: Pengaturan-> Lanjutan-> Sertifikat-> Lihat sertifikat-> Otoritas Sertifikat. Saya menemukan sertifikat dengan nama:



Sekilas, semuanya sudah beres. Saya memutuskan untuk memverifikasi sidik jari sertifikat SHA1. Saya naik ke hierarki dan melihat yang berikut:



Dalam hierarki sertifikat, sertifikat root adalah sertifikat itu sendiri (ditandatangani sendiri).
Untuk akhirnya memastikan bahwa ini adalah sertifikat yang tidak valid, dari peramban Chrome melakukan verifikasi daring untuk sertifikat saat ini sslshopper.comdan memeriksa nomor seri:



Sekarang perlu menemukan trojan ini. Semuanya bersih dalam pengaturan proxy, dan antivirus tidak memberikan hasil apa pun. Saya masuk ke pemantauan jaringan dan melihat aplikasi tertentu yang aktif setiap kali saya mengakses layanan web:



Tautan pertama di Internet mengungkapkan semua peta. Ternyata baru-baru ini manajemen kami membuat beberapa amandemen terhadap kebijakan untuk melindungi informasi rahasia. Diputuskan untuk menginstal program StaffCop untuk semua staf, yang memantau kegiatan karyawan. Setelah menonaktifkan layanan ini, tidak hanya masalah dengan sertifikat yang diselesaikan, tetapi juga dengan browser Chrome utama saya. Terlepas dari uraian yang luar biasa itu, sebenarnya masalahnya diselesaikan dengan sangat cepat, dan saya berharap urutan tindakan saya akan membantu seseorang.

Dan akhirnya, seperti apa sertifikat "benar" itu:

Source: https://habr.com/ru/post/id385219/