信息安全 - 为什么 Firefox（并且只有 Firefox）报告我在多个站点上的连接不安全？ - 吾爱随笔录

信息安全 tls 证书中间人火狐

2021-08-21 08:57:26

在我的工作笔记本电脑上安装 Firefox 54.0.1 后，我看到的第一页在打开https://www.mozilla.org/.

_{“Firefox 的所有者错误地配置了他们的网站”}

在浏览了更多之后，我注意到 Firefox 不仅仅是为 Mozilla 报告错误。

Firefox 正在报告Google、Microsoft、Dropbox、GitHub、Wikipedia、LastPass、Netflix、Facebook、Twitter、Skype、WhatsApp、WolframAlpha、Amazon、LinkedIn、AutoHotkey、Yahoo、Imgur甚至Stack Exchange的 HTTPS 安全错误。

关于这些错误，有几点值得注意。

Google Chrome 59.0.3071.115 或 Internet Explorer 10.0.9200.22139 均未报告任何所列网站的安全问题
少数几个网站在 Firefox 中加载时未报告任何安全错误，包括Discover、Visa、Mastercard、Chase、American Express、Citibank、Capital One、Bank of America、PayPal、Stripe、Intuit、TreasuryDirect、iCloud *、Discord和YouTube。
- （令人担忧的是，大多数加载而没有报告任何安全错误的网站都与网上银行和金融有关）
我能够加载Mozilla 的支持页面和Wells Fargo而不会出现安全错误，但页面呈现为没有任何图像或格式的文本

值得重申的是，这些安全错误发生在工作发行的笔记本电脑上，这意味着我的雇主很可能正在扫描 HTTPS 流量。

虽然 HTTPS 扫描至少可以部分解释 HTTPS 安全错误，但这种情况仍然给我留下了几个问题。

^{*注意：虽然iCloud没有报告任何安全错误，但页面最终无法加载并出现连接错误。}

3个回答

有很多东西要解压，所以我会在这里尽力而为（基于一些假设）。

Firefox 维护自己的证书存储，这可能是只有 Firefox 抛出这些错误的原因。传统上，系统管理员将通过组策略推出证书，该策略适用于 Chrome 和 IE / Edge，但 Firefox 不会信任它。我会想象您的流量被正在检查您的流量的透明代理服务器拦截（请注意，查看证书信息将揭示这是否是您的工作推出的证书）。
再次假设，但您的工作可能明确没有过滤金融网站流量 - 大概是为了避免这样做的任何潜在责任。
我不知道为什么有些加载为纯文本。这可能与代理过程有关。

编辑：正如Arminius 敏锐地指出的那样，页面加载为纯文本可能是由于从第三方域中提取资源时发生的证书错误。图像和 CSS 可能没有加载，因为来自这些域的证书错误阻止了资源的传输。

为什么 Firefox 是唯一报告这些安全错误的浏览器？

如前所述，Firefox 使用自己的证书颁发机构存储，从公司的角度管理它是困难的，而且在允许使用 Chrome 时通常不值得。

为什么 Firefox 不报告银行和金融网站上的安全错误？

法律通常不允许通过透明代理进行 HTTPS 检查，因为它会破坏用户的银行机密性，并且通常被认为是非法的。

为什么有些页面不报告安全错误，而只加载为纯文本？

通常（从所见）这是因为首页被归类为“不应该被拦截”，就像金融网站一样（富国银行在 bluecoat 的列表中就是这种情况），但图片来自另一个 CDN，所以拦截在 CDN 上触发并且图像未加载，因为 Firefox 不知道授权证书。

就我而言，Avast 干扰了 Firefox 上的正确站点加载，但在其他浏览器上却很好。

我在 Web Shield 设置中取消勾选“扫描安全连接”，我的问题就解决了。

其它你可能感兴趣的问题