Desabilitar totalmente a validação de certificado SSL no Ubuntu

13

Eu sou novo no Linux e estou aprendendo Linux no Ubuntu 18.0401 LTS instalado no oracle virtualbox no sistema da empresa. A empresa possui rede proxy privada. Assim, todos os sites que eu navego no ubuntu passam por proxy e obtém o certificado SSL emitido pela empresa. Quando eu navego no chrome / firefox, ocorre um erro como uma fonte não confiável. Quando vou para> avançar> adicionar exceção, posso navegar nesse site em particular por algum tempo e, novamente, após algum tempo o mesmo erro (provavelmente os detalhes do certificado são alterados) No navegador pelo menos posso navegar após esse esforço, mas o software Ubuntu nem sequer fornece tais opção e simplesmente não consigo baixar nenhum software. Também o CLI apt-get não funciona. Alguém pode dizer uma maneira de configurar de tal maneira que ignoremos completamente o sistema de validação SSL? algo como validação de certificado --disable ssl .. Para que eu possa me conectar perfeitamente à Internet? (é claro que os sites bloqueados por proxy ainda serão bloqueados)

Graças uma tonelada de antecedência !!

NK, entusiasta do Linux

PS: Abaixo está o erro no firefox;

"Sua conexão não é segura O proprietário do support.mozilla.org configurou o site incorretamente. Para proteger suas informações contra roubo, o Firefox não se conectou a este site."

Nikhil Kadi
fonte
Dê uma olhada aqui: askubuntu.com/a/94861/783023- Acho que você só precisa instalar o certificado raiz da sua empresa (ou o proxy da sua empresa) - então você deve ficar bem. Lembre-se de que alguns aplicativos, como o Firefox, têm seus próprios keystores, portanto a resposta abaixo também se aplica.
Robert Riedl
11
Provavelmente deve ser óbvio para quem está familiarizado com o assunto, mas vou declarar mesmo assim. A instalação de um certificado raiz faz com que você confie completamente no proprietário desse certificado. Isso significa que o proprietário pode, por exemplo, controlar sua conexão e descriptografar todo o tráfego https, assim como o navegador o alertou quando você usou o proxy da empresa sem ter instalado o certificado. Você provavelmente não pode evitar que, se for a política de TI do seu empregador, use o proxy dele, mas esteja ciente disso e evite transmitir qualquer coisa pessoal (banco, logins privados, ...)
Byte Commander
@ByteCommander, isso é muito verdade. De fato, se estou interpretando o OP corretamente, ele está atualmente (não maliciosamente) envolvido no intermediário, devido ao serviço de proxy que quebra o SSL. Além disso, desabilitar o SSL também o tornará vulnerável a ataques intermediários.
Robert Riedl
Obrigado por especialistas em respostas. O problema é que a equipe de TI não me fornece certificado, pois a caixa virtual já foi fornecida após tantas aprovações. Eles não se incomodam porque eu estou usando o Ubuntu para fins de auto-aprendizado e nada está preso a eles.
Nikhil Kadi

Respostas:

46

Desabilitar totalmente a validação de certificado SSL no Ubuntu

Felizmente, isso não é realmente possível, além de compilar os aplicativos relevantes novamente e desativar a validação de certificado no código.

A maneira correta de proceder é não desabilitar a validação, mas adicionar o certificado da CA usado pelo proxy como confiável. Dessa forma, você pode usar o proxy sem nenhum aviso, mas ainda não está vulnerável a ataques arbitrários no meio do caminho, como seria se desabilitasse toda a validação.

Peça aos administradores da rede o certificado CA adequado e instale-o como descrito aqui, por exemplo, para o Firefox (embora este site específico seja para Windows, seja o mesmo com o Firefox no Linux).

Steffen Ullrich
fonte
7

A maneira correta para isso é adicionar o (s) certificado (s) da CA usado pelo proxy. Se eles são rotacionados com frequência, isso pode se tornar irritante. Para instalar os certificados de forma que sejam usados ​​pela maioria dos aplicativos (diferente do Firefox, que usa seu próprio armazenamento de certificados), faça o seguinte:

  1. Obtenha o (s) certificado (s) no formato X.509 codificado em Base64.
    Uma maneira fácil de obtê-los é através do Chrome Settings, via Advanced, Manage Certificatesem um sistema gerenciado / atualizado automaticamente pela TI.
  2. Copie-os para /usr/local/share/ca-certificates
    (Opcionalmente, crie uma nova subpasta)
  3. Se a extensão não for .crt, renomeie os arquivos.
  4. sudo update-ca-certificates

Ao repetir este exercício, os certificados podem não ser atualizados. Você pode contornar isso executando primeiro.

sudo rm -f /etc/ssl/certs/[certificate-name].pem

onde [certificate-name]corresponde ao (s) nome (s) dos certificados sem a extensão original (.crt).

NOTA: Testado no Ubuntu 16.04, mas espero que se comporte da mesma maneira no 18.04.

SensorSmith
fonte