Beim Surfen auf Websites bemerkte das Internet immer häufiger Fehler im HTTPS-Protokoll. Außerdem begannen Arbeitskollegen zu kommen und sich über die Unzugänglichkeit der Websites zu beschweren. In diesem Artikel schlage ich vor, wie diese Situation im Zusammenhang mit der Verwendung von HTTPS verbessert werden kann.

Einführung

Fehlermeldungen darüber, dass HTTPS nicht verfügbar ist oder nicht ordnungsgemäß funktioniert, können variieren. Hauptgründe:

Grund Nummer 1. Es ist nur die HTTP-Version der Site verfügbar (Port 80), aber der Modus „Nur HTTPS“ ist im Browser aktiviert (Port 443).

Auf einigen Websites ist nur das HTTP-Protokoll verfügbar (Port 80 – http oder klassisches WWW). In den letzten 10 Jahren eine äußerst untypische Option für das Internet, weil... Webmaster versuchen, das HTTPS-Protokoll (Port 443 - SSL) so schnell wie möglich zu aktivieren. Gründe: Mobilfunkbetreiber können dem offenen HTTP-Verkehr Werbung hinzufügen; Weiterleitender HTTP-Verkehr kann von Angreifern eingesehen werden (einschließlich Cookies, die für die Anmeldung ohne Passwort verwendet werden). Diese Option findet sich jedoch in lokalen Netzwerken für die Anmeldung an einem Router und Internetcafé, wo Sie zur Authentifizierung über das HTTP-Protokoll auf die Site gehen müssen (da die Webressource kein SSL-Sicherheitszertifikat hat).

Für neugierige Benutzer: Wie kann man überprüfen, ob die https-Version der Website existiert?

Die offensichtliche Möglichkeit besteht darin, https:// in die Adressleiste anstelle von http:// einzugeben.

Sie können auch mit CURL prüfen, ob Port 443 geöffnet ist, oder eine Anfrage stellen. Das Ergebnis ist auf dem Bildschirm sichtbar:

nmap test.ru -p 443
curl -I -v --connect-timeout 3 https://test.ru

Das Vorhandensein von Port 443 bedeutet jedoch nicht, dass es sich unbedingt um eine Website handelt. Möglicherweise werden andere Dienste auf Port 443 ausgeführt.

Diese Methode ist für Heimcomputer gerechtfertigt, eignet sich jedoch nicht für Büro-PCs, deren Benutzer mit internetbasierten Informationssystemen, Bankwebsites und Datenbanken arbeiten.

Grund Nummer 2. Die Website wurde im Rahmen der „Importsubstitution“ oder aufgrund von Sanktionen auf inländische Kryptographie (russisches RSA-SSL-Zertifikat) umgestellt – das vom Ministerium für Kommunikation und Massenmedien der Russischen Föderation ausgestellte Root-CA-Zertifikat ist jedoch nicht im Browser installiert von März bis Mai 2022 begannen russische Standorte mit der Umstellung auf inländische, russische Zentren für die Ausstellung von SSL/TLS-Sicherheitszertifikaten (CA). Insbesondere werden Websites neue SSL-Zertifikate ausgestellt, die von generiert werden nicht von US-Stammzertifikate, und von Stammzertifikat der russischen Zertifizierungsstelle „Russian Trusted Root CA“- Ministerium für Kommunikation, Kommunikation und digitale Entwicklung - (offizielle Website https://digital.gov.ru/). Die Verwendung der neuen CA ist am Beispiel der Website des St. Petersburg Property Relations Committee commim.spb.ru - Kette, Screenshot vom 25.05.2022 zu sehen:

1. Root-CA-Zertifikat „Russische vertrauenswürdige Stammzertifizierungsstelle“
2. Zwischen-CA-Zertifikat „Russische vertrauenswürdige Sub-CA“(ausgestellt von CA Nr. 1)

3. SSL-Zertifikat der Website *.commim.spb.ru (ausgestellt von CA Nr. 2)

   

Eine solche Vertrauenskette warf im „importierten“ Google Chrome-Browser aufgrund des unbekannten Stammzertifikats „Russian Trusted Root CA“ Fragen auf – und die Website wurde nicht über das HTTPS-Protokoll geöffnet, was die Arbeit damit unmöglich machte Website des Property Relations Committee einer meiner Arbeitskollegen.
!Eine einfache Lösung besteht darin, dass Benutzer Browser installieren„Yandex“oder„Sputnik“, in das das neue SSL-Zertifikat „eingenäht“ ist Russische vertrauenswürdige Stammzertifizierungsstelle.

!!!Die Entscheidung liegt auf der Seite des Webmasters- Fügen Sie der Website SSL-Zertifikate hinzu, die von ausländischen Zertifizierungsstellen ausgestellt wurden – insbesondere für Benutzer der ausländischen Browser Google Chrome und Mozilla Firefox.Kostenlose Let's Encrypt-Zertifikate. Das Unternehmen Let's Encrypt stellt Zertifikate für .RU- und .РФ-Domains aus, ohne auf Sanktionen zu achten. Und so geschah es am 28. April 2022 – die Seite https://commim.spb.ru wurde über „Let’s Encrypt“-Zertifikate zugänglich. Kostenpflichtige SSL-Zertifikate:GlobalSign AlphaSSL und Thawte SSL123- für Domains .blog, .info usw.

Ab dem 1. Mai 2022 verwendet die Website das Root-CA-Zertifikat ISRG X1 („Let’s Encrypt“):

Das ISRG-Stammzertifikat wird von Chrome „verstanden und akzeptiert“. Wo ISRG – Internet Security Research Group. Das Zertifikat ist immer noch fremd.
Aber das SSL-Zertifikat wird zweifellos bald durch ein russisches ersetzt!

!!!!Eine Lösung für fortgeschrittene Benutzer besteht darin, ein SSL-Zertifikat des Kommunikationsministeriums der Russischen Föderation im Chrome- oder Firefox-Browser zu installieren dem ist dieser Artikel gewidmet. 😀

Grund Nummer 3. Die Website ist durch ein selbstsigniertes Zertifikat geschützt (wobei „selbstunterschrieben“ bedeutet „von mir selbst unterschrieben“) selbstsigniertes oder „selbstsigniertes“ Zertifikat- im CRT-Format (X.509), das vom Webmaster für die Website ohne Beteiligung einer Zertifizierungsstelle eines Drittanbieters generiert wurde. Wir können nicht darauf verzichten, ein selbstsigniertes/selbstsigniertes Zertifikat im Browser zu installieren, wenn wir es verwenden möchten schutz von https://-Verbindungen mit einer Website wie dieser.

Grund Nummer 4. Alle anderen Gründe hängen mit Fehlern bei der Verwendung des Zertifikats zusammen: 4a) Die Gültigkeitsdauer des SSL-Zertifikats ist abgelaufen oder noch nicht abgelaufen. 4b) Das SSL-Zertifikat der Site wurde widerrufen (CRL). 4c) SSL-Zertifikat, ausgestellt für eine andere Domain. Dieses Problem liegt beim Webmaster der Website, nicht beim Benutzer. Clientseitige Umgehung – auch Deaktivierung des Nur-HTTPS-Modus oder Hinzufügen der Website-Domain zu Ausnahmen – die Schaltfläche zum Ausschließen der Website von der Sicherheitsüberprüfung ist in der ersten Fehlermeldung verfügbar – klicken Sie auf die Schaltfläche „Fortgeschritten“- "Akzeptieren Sie das Risiko und fahren Sie fort" - in diesem Fall wird die Verbindung über HTTP hergestellt, ohne SSL-Verschlüsselung, die Site-Adresse wird angezeigt Ausnahmen für Webbrowser und und wird in Zukunft geöffnet, jedoch ohne Verschlüsselung.

I. Installation des Root-SSL-Zertifikats des Ministeriums für Kommunikation und digitale Entwicklung ROOTCA_SSL_RSA2022.CER

• Gehen Sie auf der Website der State Services zum Abschnitt zur Ausstellung von SSL-Zertifikaten für juristische Personen:https://gosuslugi.ru/tls
  

• Scrollen Sie auf der Seite ganz nach unten und laden Sie die ZIP-Zertifikatdatei der State Services-Seite herunter ( - Schaltfläche am Ende der Seite, Schaltfläche „Zertifikat herunterladen“)
  

Wir speichern die ZIP-Datei mit dem SSL-Zertifikat aus den „Government Services“ im Ordner „Downloads“.

• Erstellen Sie einen temporären Ordner auf dem PC ~/Downloads/import

  mkdir ~/Downloads/import
  cd ~/Downloads/import

• Extrahieren Sie die CRT-Datei aus dem Archiv im Ordner „Downloads“ in den Ordner ~/Downloads/import
  
  

Windows:Im Explorer importieren Sie das Stammzertifikat ROOTCA_SSL_RSA2022.CER Doppelklick.

• Importieren – Wählen Sie „Wohin“ aus „Vertrauenswürdige Stammzertifizierungsstellen“- ... - Fertig.

  
  
  
  
  
  
  
  

  - Linux:

Sie müssen das SSL-Zertifikat der Stammzertifizierungsstelle der Russischen Föderation im Browser installieren

Zuerst müssen Sie herunterladen Stammzertifikat des Ministeriums für Telekommunikation und Massenkommunikation 2022, auch bekannt als „Russian Trusted Root CA“- Datei rootca_ssl_rsa2022.cer,
ändern Sie dann das Dateiformat von CER in PEM.

Um ein SSL-Zertifikat vom CER-Format in ein Zertifikat im PEM-Format zu konvertieren, verwenden Sie den Befehl im Terminal:

openssl x509 -outform pem -in rootca_ssl_rsa2022.cer -out rootca_ssl_rsa2022.pem

!Ergänzungen ab 01.11.2023:

Root-Zertifikat „Russische vertrauenswürdige Stammzertifizierungsstelle“ kann auch von der Seite heruntergeladen werden Website des elektronischen Dokumentenverwaltungssystems des russischen Finanzministeriums „Roskazna“ roskazna.gov.ru.

Zur Automatisierung können Befehle zum Herunterladen von Zertifikaten in eine Linux-Shell-Datei kompiliert werden:
#!/bin/sh
wget https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
wget https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer
openssl x509 -outform pem -in russian_trusted_root_ca.cer -out russian_trusted_root_ca.pem
openssl x509 -outform pem -in russian_trusted_sub_ca.cer -out russian_trusted_sub_ca.pem

I.1. Hinzufügen eines Zertifikats der russischen Stammzertifizierungsstelle zum Mozilla Firefox-Browser

Es müssen CA-Zertifikate hinzugefügt werden

- Einstellungen
- Privatsphäre und Schutz
- Zertifikate importieren
- Zertifikate anzeigen
- Zertifizierungsstellen
- Importieren

Wählen Sie im Ordner „Downloads“ die Datei „importieren“.„rootca_ssl_rsa2022.pem“

Aktivieren Sie das Kontrollkästchen „Vertrauen für Websites“

Okay

I.2. Hinzufügen eines Zertifikats der russischen Stammzertifizierungsstelle zum Google Chrome-Browser

In Chrome (Chrom):
- Einstellungen
- Datenschutz und Sicherheit
- Sicherheit
- Zertifikate einrichten
- Zertifizierungsstellen
- Importieren

Wählen Sie die CA-Zertifikatdatei des Ministeriums für Telekommunikation und Massenkommunikation aus und bestätigen Sie den Import:

II. Selbstsignierte SSL-Zertifikate installieren

Mozilla Firefox antwortet auf selbstsignierte SSL-Zertifikate mit einem Fehler MOZILLA_PKIX_ERROR_SELF_SIGNED_CER, was bedeutet, dass das Zertifikat zu schwach ist und nicht vertrauenswürdig ist. Auf den ersten Blick kostet dieser Fehler im Firefox-Browser einen Mausklick, das Drücken der Taste „Akzeptieren Sie das Risiko und machen Sie weiter“. Allerdings löst das Hinzufügen einer Site zu Ausnahmen das Problem nicht – die Verbindung zur Site ist nicht sicher, sie funktioniert ohne Verschlüsselung von Serveranfragen/-antworten. Was kann zum Verlust vertraulicher Daten beitragen? Das bedeutet, dass Sie die HTTPS-Verschlüsselung mit einem selbstsignierten Zertifikat aktivieren müssen (siehe unten für die Lösung des Problems).

II.1 Selbstsigniertes Zertifikat zu Mozilla Firefox hinzufügen (Schritt-für-Schritt-Anleitung)

II.2 Ein selbstsigniertes Zertifikat zu Chrome hinzufügen (Schritt-für-Schritt-Anleitung)

Neues Problem: Zertifikate aufgrund des HSTS-Schutzes gesperrt (nur Google Chrome)

Problem - HSTS- Implementierung eines Add-ons über HTTPS im Chrome-Browser-Subsystem HSTS/PKP), was es unmöglich macht, Websites zu öffnen, die das HTTP-Protokoll verwenden. Bei einer HSTS-fähigen Website muss der Browser die Verbindung nur über HTTPS mit einem zuvor bekannten Zertifikat herstellen. Eine solche Verbindung funktioniert nicht, wenn sich das Website-Zertifikat plötzlich ändert (beim Versuch von MitM aus). Da HSTS zum Schutz vor Angriffen auf das HTTPS-Protokoll konzipiert ist, ist es nicht möglich, die externe Überprüfung zu deaktivieren. Da hilft nur das Löschen der lokalen HSTS-Datenbank im Chrome-Browser (siehe unten). Wenn in FireFox der HSTS-Schutz ausgelöst wird, müssen Sie den Befehl zum „Vergessen“ der Website erteilen.

Beschreibung des Problems

Ein Benutzer, der Windows 7 und Google Chrome nutzt, beschwerte sich darüber, dass er keine Verbindung zur Website commim.spb.ru herstellen konnte. Nach dem Versuch, sich bei Firefox anzumelden, wird eine Meldung angezeigt:

_"Warnung: Mögliches Sicherheitsrisiko
Firefox hat eine mögliche Sicherheitsbedrohung erkannt und hat commim.spb.ru nicht geöffnet. Wenn Sie diese Website besuchen, könnten Diebe versuchen, Ihre Informationen wie Passwörter, E-Mail-Adressen oder Kreditkartendaten zu stehlen.
Wie können Sie das beheben?
Höchstwahrscheinlich hängt dieses Problem mit der Website selbst zusammen und Sie können nichts dagegen tun.

Der Google Chrome-Browser konnte diese Website nicht öffnen https://commim.spb.ru/, mit ungefähr der gleichen Fehlermeldung

Der Link „Zur Website gehen (Unsicher)“ war für den Benutzer aufgrund der Aktivierung des HSTS-Systems auf dem Bildschirm nicht sichtbar – ihm war die Verbindung über das HTTP-Protokoll untersagt. Anscheinend hatte die Site früher ein anderes Zertifikat, und der Browser empfand den radikalen Ersatz des Zertifikats als „Drop-Angriff“ – eine Variante des MitM-Angriffs mit vorübergehender Verwendung von HTTP, gefolgt von der Einbeziehung einer leichten HTTPS-„Man-in-the-Middle“-Verschlüsselung. Daher erforderte der Webbrowser HTTPS mit einem „starken“ Zertifikat und gab dem Benutzer nicht die Möglichkeit, über das HTTP-Protokoll oder ein anderes SSL-Zertifikat auf eine unsichere Website zuzugreifen.

Lösung des Problems mit HSTS: Informationen auf einer Website aus dem HSTS-Speicher des Chrome-Browsers löschen

1) Geben Sie in die Adressleiste ein:

chrome://net-internals

und drücken Sie die Eingabetaste

2) Klicken Sie auf der linken Seite des Fensters auf den Menüpunkt

"Domain-Sicherheitsrichtlinie"

3) Gehen Sie auf der rechten Seite des Fensters zum Abschnitt „Abfrage“ und überprüfen Sie, ob die Site in der Liste enthalten ist (klicken Sie auf die Schaltfläche „Abfrage“).

4) Wenn sich die Domain in der HSTS-Liste befindet, werden folgende Informationen angezeigt:

5) Um Domäneninformationen aus der HSTS-Datenbank zu entfernen (die zum Anwenden neuer SSL-Zertifikate erforderlich sind), gehen Sie zu „Domänensicherheitsrichtlinien löschen“

6) Geben Sie die Website-Adresse ohne das Präfix https:// ein

7) Drücken Sie die Taste „Löschen“

8) Löschen mit einer zweiten Anfrage prüfen (Abfrage)

Das Ergebnis ist „Nicht gefunden“, was bedeutet, dass die HSTS-Site-Einstellungen aus Chrome entfernt wurden.

Verwandte Veröffentlichungen

Arbeiten mit Flatpak oder APT über einen Proxyserver

Linux Mint-Boot-Problem mit integrierter Intel-Grafikkarte beheben

TimeShift stoppen und deaktivieren, um Speicherplatz zu sparen

Fehlerbehebung bei L2TP/IPsec-Verbindungsfehlern „Could not add ipsec connection“ und „no acceptable traffic selectors found“

Festplattenpartitionierung zur Installation von Linux Mint auf einem alten PC mit BIOS im GPT-Modus