Mozilla: Erro sec_error_unknown_issuer (pensamentos em voz alta)

Hoje de manhã, depois de uma xícara quente de café com chocolate , surgiu a idéia de mudar meu navegador Chrome habitual para o Firefox. O motivo disso provavelmente não foi o café, mas a desaceleração anormal do meu navegador recentemente. Após o primeiro lançamento, insiro traiçoeiramente "google.ru" na barra de endereços e vejo o seguinte erro:



O navegador nem mesmo dá o direito de ignorar o erro. Por hábito, a primeira coisa que fiz foi olhar a data e a hora. Depois de verificar se as configurações de hora no computador foram definidas corretamente, ele mudou para outro recurso yandex.ru: as



coisas estavam um pouco melhores aqui, o Firefox já oferece adicionar o certificado ao repositório confiável. Aqui eu tive que ligar o cérebro, porque Uso ativamente o serviço Yandex.Money e quaisquer vazamentos são significativos para mim. Antes de tudo, decidi verificar o que exatamente o navegador não gosta no certificado:



não há confiança na parte que emitiu o certificado. E uma imagem em todos os recursos em que uma conexão HTTPS segura é usada.
Muita teoria:
Para usar um canal de comunicação criptografado, seu navegador usa o protocolo SSL (ou TLS) (HTTPS), que, por sua vez, usa um certificado de autenticação. Este certificado armazena informações para criptografar dados e para identificar o servidor WEB que você está acessando. Além de todas as outras informações armazenadas no certificado (tipo de criptografia, nomes alternativos etc.), estamos interessados ​​em uma chave pública que resolva o problema nº 1 - criptografia em redes abertas e informações sobre o centro que emitiu esse certificado, que soluciona o problema nº 2 - confiar na chave pública.

Vou descrever com exemplos.

Cenário 1:

1. O serviço Yandex deseja organizar um canal de comunicação seguro com seus usuários e gera um par de chaves (públicas e privadas) para isso.
2. Como cliente do serviço Yandex, recebo uma chave pública dele e criptografo todos os seus dados. Ao mesmo tempo, tenho certeza de que apenas o proprietário da chave privada pode ler os dados; no nosso caso, o proprietário é o serviço Yandex.
Assim, o serviço Yandex resolve o problema de criptografia em redes abertas.

Mas e se um certo vírus Trojan estiver entre você e o serviço Yandex (por exemplo, como um servidor proxy de passagem) ... ???

Cenário 2:

1. O Trojan recebe a chave pública do serviço Yandex.
2. O trojan gera um par de chaves e transfere a parte aberta para você em nome do serviço Yandex.
3. Todas as mensagens endereçadas a você pelo serviço Yandex são interceptadas e descriptografadas pelo Trojan, e o Trojan, por sua vez, criptografa esses dados com a chave do Yandex e os transfere para eles. É aqui que surge o problema 2, a saber, o problema de confiar na chave pública .

Esse problema é resolvido por terceiros confiáveis ​​pelo serviço Yandex e pelo cliente. Nesse caso, o registro apontou para o AtomPark Software Inc, que emitiu o mesmo certificado de autenticidade para o serviço Yandex.

Vamos voltar ao meu certificado e ter certeza de que confiamos em terceiros. No campo Nome Comum (CN) do grupo Emitido por, há uma entrada AtomPark Software Inc. O primeiro sinal de confiança para essa autoridade de certificação é a presença de seu certificado raiz no armazenamento confiável. No Mozille, esta lista pode ser aberta assim: Configurações-> Avançado-> Certificados-> Exibir certificados-> Autoridades de certificação. Encontrei um certificado pelo nome:



À primeira vista, tudo está em ordem. Decidi verificar as impressões digitais dos certificados SHA1. Subi na hierarquia e vi o seguinte:



Na hierarquia de certificados, o certificado raiz é o próprio certificado (autoassinado).
Para finalmente garantir que este é um certificado inválido, em um navegador, o Chrome realizou a verificação online do certificado atual sslshopper.come checou os números de série:



Agora era necessário encontrar esse Trojan. Tudo estava limpo nas configurações de proxy, e o antivírus não deu nenhum resultado. Entrei no monitoramento de rede e notei um determinado aplicativo que estava ativo sempre que acessava os serviços da web:



o primeiro link na Internet revelava todos os mapas. Recentemente, nossa administração fez algumas alterações na política de proteção de informações confidenciais. Foi decidido instalar o programa StaffCop para todos os funcionários, que monitora as atividades dos funcionários. Depois de desativar esse serviço, não foram resolvidos apenas os problemas com certificados, mas também com o meu navegador principal do Chrome. Apesar da ótima descrição, o problema foi resolvido rapidamente, e espero que a sequência de minhas ações ajude alguém.

E, finalmente, como devem ser os certificados "corretos":

Source: https://habr.com/ru/post/pt385219/