Dlaczego w niektórych witrynach pojawia się błąd bezpiecznego połączenia?

Korzystam z przeglądarki Firefox w wersji 37.0.2 z połączeniem Ethernet na uniwersytecie w Bangkoku. Uważam, że uniwersytet jest nieprzyjaznym środowiskiem, ponieważ większość komputerów w tej sieci ma podrobione wersje systemu Windows i widziałem na nich wiele wirusów.

Kiedy próbuję odwiedzić https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx (i inne bezpieczne strony na microsoft.com), pojawia się ten błąd:

Błąd przeglądarki Firefox: niepowodzenie bezpiecznego połączenia

Bezpieczne połączenie nie powiodło się Połączenie z serwerem zostało zresetowane podczas ładowania strony.

Uwagi:

Nie pojawia się błąd podczas odwiedzania tego samego adresu URL przy użyciu przeglądarki Google Chrome v42.0.2311.135 lub Microsoft Internet Explorer v11.0.96
Jeśli połączę się z Internetem przez VPN (CyberGhost), w ogóle nie otrzymuję błędu.
Nigdy nie dodałem certyfikatu bezpieczeństwa mojej uczelni do mojego zaufanego sklepu Windows. Sprawdziłem certmgri nie widzę nic związanego z moim uniwersytetem.

Byłbym bardzo wdzięczny, gdyby ktokolwiek mógł odpowiedzieć:

Dlaczego tylko Firefox?
Dlaczego korzystanie z VPN to naprawia?
Jeśli nie ufam sieci uniwersyteckiej, czy bezpieczniej byłoby przeglądać całą sieć przez zaufaną sieć VPN?

tls vpn

— Kit Johnson
źródło

Jeśli przejrzysz certyfikaty dostarczone przez stronę internetową podczas korzystania z VPN / niestosowania VPN, jakie ewentualne różnice widzisz?

— Alasjo,

Gdy nie korzystam z VPN, nie widzę żadnego certyfikatu. Firefox mówi technet.microsoft.com „Ta strona internetowa nie zawiera informacji o własności”. Nie ma kłódki.

— Kit Johnson,

Ostatnia aktualizacja FF pomieszała moje ustawienia. Usunąłem moją stronę główną, niektóre zapisane certyfikaty i mogłem nawet popsuć niektóre informacje o konfiguracji.

Domyślam się, że sieć uniwersytetów wykonuje MitM połączeń TLS, co nie jest rzadkością w większych organizacjach. A ostatnia aktualizacja FF usunęła zapisany certyfikat uniwersytetu.

Jest to tylko Firefox, ponieważ ostatnia aktualizacja poważnie pomieszała niektóre rzeczy. Jak wskazał @Ramhound, Firefox używa własnego magazynu certyfikatów, podczas gdy Chrome i IE korzystają z magazynu certyfikatów systemu operacyjnego dla użytkownika. Jeśli Firefox zdecyduje się zresetować wiele konfiguracji, wszelkie dodane przez użytkownika certyfikaty mogłyby zostać usunięte.
VPN to naprawia, ponieważ najprawdopodobniej omija ich TLS MitM. Chociaż dlaczego w ogóle zezwalają na VPN, może to być argument przeciwny.
Jeśli nie ufasz sieci uniwersyteckiej za pomocą zaufanej sieci VPN, ogólnie byłoby to lepsze rozwiązanie.

Jako rozwiązanie przyjrzę się twoim zaufanym certyfikatom Chrome i sprawdzę, czy są zainstalowane jakieś związane z Twoim uniwersytetem. Sprawdź, czy te certyfikaty są zainstalowane w przeglądarce Firefox.

— RoraΖ
źródło

Jest to także tylko Firefox, ponieważ Firefox jest jedyną przeglądarką, która korzysta z własnego magazynu certyfikatów. Chrome i IE używają magazynu certyfikatów systemu operacyjnego, w szczególności magazynu certyfikatów użytkownika (w porównaniu do magazynu certyfikatów komputera).

— Ramhound

Słuszna uwaga! Zupełnie o tym zapomniałem. Dodałem to do mojej odpowiedzi.

— RoraΖ

Zasłużyłeś już na głosowanie, ponieważ twoje wnioski są technicznie prawidłowe. Zadawałem wiele pytań certyfikacyjnych, więc przeprowadziłem wcześniejsze badania.

— Ramhound

Dziękuję bardzo za tę odpowiedź. Mam jeszcze dwa pytania: dlaczego duże organizacje robią MitM na swoich użytkownikach? Jeśli tak jest w przypadku mojego uniwersytetu i wygląda na to, że tak, powinienem zrobić wszystko za pośrednictwem sieci VPN. Drugie pytanie: Nigdy nie dodałem certyfikatu uniwersytetu do moich zaufanych certyfikatów głównych w systemie Windows (ponieważ tak naprawdę im nie ufam). Dlaczego więc Chrome i IE też na to nie narzekają?

— Kit Johnson

Na temat „dlaczego organizacje robią MitM”, znalazłem ten interesujący kawałek na slashdot

— Kit Johnson