המחשב/דפדפן מסתמך על תעודה לא מוכרת

shraga

אני לא מצליח לנסח את השאלה בצורה טובה ונכונה (אולי לכן לא הצלחתי למצוא פתרונות במרשתת),
נתקלתי מספר פעמים בבעיה שכשמנסים להיכנס לאתרים מסוימים/או לכולם יש שגיאת אבטחה,
בבדיקה הוברר שהדפדפן (או יותר נכון המחשב, זה בכל הדפדפנים) מסתמך/מנותב שיעבור דרך תעודה לא מוכרת שאינה מותקנת על המחשב ולכן השגיאה צפויה כמובן.
מנסיוני בד"כ זה הראה על תוכנת סינון שמותקנת על המחשב.
פעם אחת שנתקלתי בבעיה זה היה תוכנת "גלישה בטוחה" של בזק שברגע שהסרתי אותה הבעיה נפתרה.
פעם שניה זה ככל הנראה היה תוכנת הסינון נתיב שלא הוסרה לגמרי. שני אלו השתמשו עם תעודה בשם localhost.localdomain.
פעם שלישית, זה כנראה היה רוגלה וכדומה שסריקה עם malwarebytes פתרה את הבעיה, התעודה הייתה בשם jumla 115.
מצרף צילו"מ להמחשת הבעיה:
.

דא עקא, שאני מעונין בפתרון שיפתור את הבעיה מהשורש, היינו גישה למקור ההגדרה (בקובץ כלשהו/ברגסטרי) שגורמת לבעיה שהמחשב מחליט להסתמך על תעודה פלונית באתר מסוים/בכולם ואיפוס לברירת מחדל וכדומה.

יש למישהו מושג איפה זה?
אשמח לעזרה בתותחי הפורום

תודה רבה

A0533057932

@shraga מצטרף לשאלה

yossiz

@shraga אמר בהמחשב/דפדפן מסתמך על תעודה לא מוכרת:

אני לא מצליח לנסח את השאלה בצורה טובה ונכונה (אולי לכן לא הצלחתי למצוא פתרונות במרשתת),

אכן...

בתעבורה מאובטחת (TLS) מה שאמור לקרות הוא שהדפדפן מתקשר לשרת המרוחק ומבקש אישור שהינו באמת השרת של הדומיין המבוקש, השרת עונה עם תעודה שחתום ע"י סמכות שהמחשב סומך עליו, ופרמטרים עבור הצפנת התעבורה בצורה שרק בעל תעודה זו יכול לפענח. מעכשיו כל התעבורה מוצפנת ואין לתוכנות אבטחה/סינון שום גישה לתעבורה.
מה שקורה בכל המקרים הנ"ל הוא שיש תוכנת אבטחה/סינון/זדוני שרוצה גישה לתעבורה, לכן התוכנה נכנסת באמצע ומבצע מה שנקרא בעגה MITM, דהיינו שהוא מציג את עצמו כאילו שהוא השרת המרוחק בעל הדומיין המבוקש, והוא מקבל כל התעבורה, עושה את המטלה (סינון/בדיקות אבטחה/משהו זדוני) ושוב עושה חיבור חדש לשרת האמיתי, ומעביר את הנתונים אליו.
הבעיה היא שלשם כך התוכנה צריכה להציג תעודה, ו(אמור להיות...) קשה מאוד עד בלתי אפשרי לקבל תעודה מסמכות אמינה עבור שרת שאינו שלך, ובפרט שהתוכנה צריכה תעודה עבור כל הדומיינים שהוא רוצה לביים, אז מה שעושים הוא שמתקינים עוד סמכות עליונה (CA - Certificate Authority) במחשב, ואז יכולים להוציא תעודות עבור כל הדומיינים שחתומים ע"י אותו CA. מה שקורה במיקרים הנ"ל הוא, שהתעודה שהתוכנה מביימת לא אמינה, כנראה שהוסרה כבר ה-CA שהתוכנה התקינה.
זה בדיוק איך שנטפרי פועל ג"כ, ועד כאן לכאורה מאוד מוכר לך @shraga ...

השאלה (שלכאורה התכוונת לשאול), איך אפשר להיכנס לתוך התעבורה ולבצע MITM? יש יותר מדרך אחד, וצריך למצוא באיזה דרך התוכנה משתמשת ולהשבית אותה משם...

• הדרך העיקרי הוא ע"י רכיב קרנל (דרייבר בלע"ז) גם שם יש יותר מאפשרות אחת, אבל בעיקרון הפתרון הוא למצוא את הדרייבר ולהשבית אותו.
• אפשר ע"י Winsock Provider. אפשר למצוא והשבית באמצעות Autoruns (זה טכנולוגיה שהוא בדרך החוצה ומפתחים לא אמורים להשתמש בזה עבור תוכנות חדשות, לא יודע אם זה עובד בווינדוס 10)
• ואפשר ע"י הגדרות Proxy, אבל לא נ"ל שתוכנות אלו משתמשים בזה, זה מה ש-Fiddler עושה.

shraga

@yossiz
כמו תמיד...
תודה רבה!

@yossiz אמר בהמחשב/דפדפן מסתמך על תעודה לא מוכרת:

אפשר ע"י Winsock Provider. אפשר למצוא והשבית באמצעות Autoruns (זה טכנולוגיה שהוא בדרך החוצה ומפתחים לא אמורים להשתמש בזה עבור תוכנות חדשות, לא יודע אם זה עובד בווינדוס 10)

אפשר הסבר (אפילו קצר) נוסף על השורה הזו?

yossiz

@shraga אם קיים במערכת winsock provider שאינו אחד מהמובנים של ווינדוס, זה יופיע פה:

A0533057932

@yossiz כלומר במקרה ויש לי מחשב שעובד רק בנטפרי וברשת אחרת אין אפשרות לגלוש בגל תעודת אבטחה לא טובה מה אמורים לעשות חוץ מלפרמט ולהתקין מערכת הפעלה חדשה (ווינדוס 7)

shraga

@A0533057932 זה בעיה אחרת, כנראה אתה מתכוון בגלישה דרך ספק אחר מסונן, בכזה מקרה עליך להתקין את תעודת האבטחה של אותו ספק.

yossiz

@A0533057932
א. ודאי שאין צורך להתקין מערכת הפעלה חדשה
ב. מה קורה בדפדפן פיירפוקס? (פיירפוקס משתמש באוצר תעודות משלו בלי קשר לתעודות המותקנות במערכת ההפעלה.
ג. אתה יכול להעלות תמונה של תעודה לא טובה? (תמונה כמו התמונה השלישית ש@shraga העלה)

A0533057932

@shraga מדובר במחשב שהתחילו להשתמש בו בנטפרי לפני כשנה הבעיה היא שעדכוני המערכת מראים שגיאה כל הזמן וכן במשתמש נוסף על אותו מחשב לא עובד גם אחרי תעודת אבטחה (במשתמש הראשי נטפרי התחברו מרחוק ופתרו את הבעיה)
כך שחשבתי שיתכן שזה מה שגרם לבעיה ואם כך השבתה של אותה הפניה של הווירוס תאפשר לי לעדכן עדכוני מערכת

A0533057932

@yossiz אני יבדוק את שני הדברים השניים ויעדכן מקווה היום בערב ואם לא אז מחר במהלך היום

A0533057932

@yossiz @shraga
מצורף בזאת מספר תמונות מסך

5566brs

@A0533057932
https://textslashplain.com/2017/10/23/google-internet-authority-g3/
https://good.gsr2demo.pki.goog/

yossiz

@5566brs אמר בהמחשב/דפדפן מסתמך על תעודה לא מוכרת:

https://good.gsr2demo.pki.goog/
זה לא יעבוד בנטפרי כי אתה מקבל אישור אבטחה של נטפרי.

@A0533057932, התיקון הוא כמו שכתוב בלינק שהביא @5566brs:

• תוריד את זה
• תפתח את הקובץ, ותפעל לפי ההוראות שבסוף הכתבה שהביא @5566brs החל מתמונה זו:
  

A0533057932

@yossiz @5566brs תודה רבה
הבעיה נפתרה לאחר כשנה של אי יכולת להשתמש באינטרנט במשתמש המשני במחשב
עד שברוב יאוש שקלתי לפרמט את המחשב

אליעזר מירון

@yossiz אמר בהמחשב/דפדפן מסתמך על תעודה לא מוכרת:

@5566brs אמר בהמחשב/דפדפן מסתמך על תעודה לא מוכרת:

https://good.gsr2demo.pki.goog/
זה לא יעבוד בנטפרי כי אתה מקבל אישור אבטחה של נטפרי.

@A0533057932, התיקון הוא כמו שכתוב בלינק שהביא @5566brs:

• תוריד את זה
• תפתח את הקובץ, ותפעל לפי ההוראות שבסוף הכתבה שהביא @5566brs החל מתמונה זו:
  

לי יש את הבעיה רק בחשבון אופיס, ההוראות הנ"ל לא הועילו, אולי תוכל לעזור גם לי?

margalit

בדקתם שהתאריך ושעה נכונים?

shraga

https://netfree.link/wiki/בדיקת_פרטי_אישור_אבטחה_של_אתר#.D7.94.D7.95.D7.A0.D7.A4.D7.A7_.D7.A2.D7.9C_.D7.99.D7.93.D7.99_jumla115