UbuntuでSSL証明書の検証を完全に無効にする


13

私はLinuxを初めて使用し、会社のシステムのoracle virtualboxにインストールされたLinux on Ubuntu 18.0401 LTSを学習しています。会社にはプライベートプロキシネットワークがあります。だから私がubuntuで閲覧するすべてのウェブサイトはプロキシを通過し、会社が発行したSSL証明書を取得します。chrome / firefoxから閲覧すると、信頼できないソースのようなエラーが表示されます。>進む>例外を追加するとき、特定のウェブサイトをしばらく閲覧できますが、しばらくすると同じエラーが発生します(おそらく証明書の詳細が変更されます)ブラウザでは少なくともそのような努力の後に閲覧できますが、Ubuntuソフトウェアはそのようなことをしませんオプションで、ソフトウェアをダウンロードできません。また、CLI apt-getが機能しません。誰かがSSL検証システム全体を完全にバイパスするように設定する方法を教えてもらえますか?--disable ssl certificate validationのようなもの。シームレスにインターネットに接続できるようにするには?(もちろん、プロキシによってブロックされたWebサイトは引き続きブロックされます)

よろしくお願いします!!

NK、Linuxマニア

PS:以下はFirefoxのエラーです。

「あなたの接続は安全ではありません。support.mozilla.orgの所有者がWebサイトを不適切に設定しています。情報の盗難を防ぐため、FirefoxはこのWebサイトに接続していません。」


ここを見てください:askubuntu.com/a/94861/783023-あなたはあなたの会社(またはあなたの会社のプロキシ)のルート証明書をインストールするだけでよいと思います-それなら大丈夫です。Firefoxなど一部のアプリには独自のキーストアがあるため、以下の答えも当てはまることに注意してください。
Robert Riedl

1
それはおそらく問題に精通している人にとっては明白なはずですが、とにかくそれを述べるつもりです。ルート証明書をインストールすると、その証明書の所有者を完全に信頼できるようになります。つまり、所有者は、証明書をインストールせずに会社のプロキシを使用したときにブラウザが警告したのと同じように、接続の中間者など、すべてのhttpsトラフィックを復号化できます。おそらく、それはあなたの雇用者のITポリシーである場合は、そのプロキシを使用する必要があることをことを避けることはできませんが、あなたはそれを認識し、何も個人(銀行、民間のログインを、...)を送信することは避けてください
バイト司令

@ByteCommander、これは本当です。実際、OPを正しく解釈している場合、SSLを破壊するプロキシサービスが原因で、彼は現在(悪意を持ってではなく)中間者です。また、SSLを無効にすると、中間者攻撃に対しても脆弱になります。
Robert Riedl、

対応の専門家に感謝します。問題は、仮想ボックスが非常に多くの承認後にすでに与えられているため、ITチームが証明書を私に与えないことです。私はUbuntuを自己学習の目的で使用していて、何も行き詰まっているので、彼らは気になりません。
Nikhil Kadi

回答:


46

UbuntuでSSL証明書の検証を完全に無効にする

幸いなことに、関連するアプリケーションを再度コンパイルし、コードで証明書の検証を無効にすることを除いて、それは実際には不可能です。

続行する適切な方法は、検証を無効にすることではなく、プロキシによって使用されるCA証明書を信頼できるものとして追加することです。このようにして、警告なしでプロキシを使用できますが、すべての検証を無効にした場合のように、中間者攻撃に対して脆弱ではありません。

ネットワーク管理者に適切なCA証明書を要求してから、Firefoxの例を参考にしてインストールしてください(この特定のサイトはWindowsの場合ですが、Linux上のFirefoxと同じです)。


7

これに関する正しい方法は、プロキシで使用されるCA証明書を追加することです。それらが頻繁にローテーションされる場合、これは確かに迷惑になるかもしれません。ほとんどのアプリケーションで使用されるように証明書をインストールするには(独自の証明書ストアを使用するFirefoxとは異なり)、次の手順を実行します。

  1. Base64でエンコードされたX.509形式で証明書を取得します。
    それらを得るための簡単な方法は、クロームビアを介してであるSettingsAdvancedManage CertificatesITは/自動更新されたシステムを管理する上で。
  2. それらをコピーします/usr/local/share/ca-certificates
    (オプションで新しいサブフォルダーを作成します)
  3. 拡張子が.crtでない場合は、ファイルの名前を変更します。
  4. sudo update-ca-certificates

この演習を繰り返すと、証明書が更新されない場合があります。最初に実行すると、これを回避できます。

sudo rm -f /etc/ssl/certs/[certificate-name].pem

ここで[certificate-name]、元の(.crt)拡張子なしの証明書のファイル名に一致します。

注:Ubuntuの16.04の下でテストが、私は期待して、それが18.04の下で同じように動作します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.