Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Unix-подобные системы

Как настроить устройство для доверия корневому сертификату при использовании прокси SOCKS5?

На чтение 7 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Понимание проблемы:
  4. Процесс решения проблемы:
  5. Заключение

Вопрос или проблема

Я подключаю Linux машину через SOCKS5 прокси. Интернет работает как ожидалось, и мне показывается IP прокси при просмотре http://whatismyip.com.

Однако некоторые сайты сообщают, что я испытываю атаку “человек посередине” (MITM атака):

Программное обеспечение мешает Firefox безопасно подключиться к этому сайту

www.mozilla.org, скорее всего, безопасный сайт, но надежное соединение
не может быть установлено. Эта проблема вызвана DigiCert Global Root
CA, который находится либо в программном обеспечении на вашем компьютере, либо в вашей сети.

Что вы можете с этим сделать?

www.mozilla.org имеет политику безопасности под названием HTTP Strict Transport
Security (HSTS), что означает, что Firefox может подключиться к нему только
безопасно. Вы не можете добавить исключение для доступа к этому сайту.

Если в вашем антивирусном программном обеспечении есть функция сканирования зашифрованных соединений (часто называемая “веб-сканирование” или “https-сканирование”), вы можете
отключить эту функцию. Если это не сработает, вы можете удалить и
переустановить антивирусное программное обеспечение.

  • Если вы находитесь в корпоративной сети, вы можете связаться с IT-отделом.

  • Если вы не знакомы с DigiCert Global Root CA, то это может быть атакой, и вы ничего не можете сделать для доступа к
    сайту.

https://www.mozilla.org/firefox/new/?utm_medium=referral&utm_source=support.mozilla.org

Ваше соединение перехвачено TLS прокси. Если возможно, удалите его или настройте ваше устройство на доверие к его корневому сертификату.

HTTP Strict Transport Security: true
HTTP Public Key Pinning: false

Цепочка сертификата:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Как я могу устранить эту ошибку, чтобы получить доступ к этим сайтам? Нужно ли мне принять какой-то сертификат на моей локальной машине или на прокси?

У меня это случается периодически в течение нескольких дней (я использую Fedora 31 beta пару недель) и начинает вызывать проблемы с некоторыми сайтами, которые я посещаю.

Поскольку Firefox имеет свой собственный список сертификатов, я мог выяснить, что это не проблема сети, запустив Chrome/Chromium и просмотрев страницы.

Я смог удалить, а затем установить Firefox заново, и это решило проблему для меня.

Вам нужно загрузить и импортировать ca-файл вашего прокси на вашем устройстве. В Debian/Ubuntu

  • pem закодированный файл в /usr/local/share/ca-certificates/
  • импорт через “update-ca-certificates”

.

Ответ или решение

Для настройки доверия к корневому сертификату на устройстве при использовании SOCKS5-прокси, необходимо следовать нескольким шагам, которые обеспечат безопасность соединений и предотвратят появления ошибок, связанных с MITM-атаками (атаками "Человек посередине") при посещении защищенных сайтов, таких как Mozilla.org. Следуя приведенной инструкции, вы сможете настроить вашу систему должным образом:

Понимание проблемы:

Ошибка, возникающая в Firefox, указывает на возможное перехватывание соединения с помощью TLS-прокси. Это связано с тем, что Firefox не доверяет корневому сертификату, представленному этой прокси. В результате сайты, использующие строгую транспортную безопасность (HSTS), не могут быть открыты, так как соединение не считается безопасным.

Процесс решения проблемы:

  1. Определение и получение сертификата прокси-сервера:

    • Прежде всего, необходимо получить корневой сертификат прокси-сервера. Это может быть сделано через документацию или интерфейс управления прокси, если таковой имеется.

  2. Установка сертификата в вашу систему (для Linux, например, на основе Debian/Ubuntu):

    • Сохраните сертификат в PEM формате в папке /usr/local/share/ca-certificates/. Например, имя файла proxy-ca.crt.
    • Выполните команду sudo update-ca-certificates для обновления списка доверительных сертификатов в системе.
    • Это гарантирует, что ваша система теперь доверяет сертификату, используемому прокси.

  3. Настройка Firefox (при необходимости):

    • Если проблема не решается на уровне системы, возможно потребуется установка сертификата непосредственно в Firefox, так как он использует собственную базу сертификатов. Для этого:
      • Откройте настройки Firefox и перейдите в раздел "Приватность и безопасность".
      • В разделе "Сертификаты" нажмите "Просмотреть сертификаты".
      • Выберите вкладку "Доверительные центры сертификации" и нажмите "Импортировать".
      • Выберите ранее сохраненный файл сертификата и добавьте его.

  4. Проверка изменений:

    • Перезапустите браузер или устройство и повторно проверьте доступ к проблемным сайтам. Теперь соединение должно быть установлено без ошибок.

Заключение

Корректная настройка сертификатов повлияет на весь трафик, проходящий через прокси, гарантируя, что соединения безопасны и не вызывают ошибочных уведомлений о перехвате. Следуя вышеописанной инструкции, вы минимизируете возможность атак и обеспечите защиту ваших данных при использовании интернет-соединения через прокси.

Это руководство также применимо к любой другой операционной системе, где аналогично могут обновляться корневые сертификаты, вне зависимости от наличия непосредственной поддержки этой функции. В случае, если проблемы сохраняются, рассмотрите возможность использования альтернативных решений.

certificates linux proxy socks5-proxy
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности