Corrigir / ignorar o erro "Não é possível conectar-se ao verdadeiro bloqueio do website" no Google Chrome com o bloqueio do OpenDNS

Navegue suas respostas
1

Tl; Dr:

Como faço para impedir que o chrome se recuse a carregar páginas bloqueadas pelo OpenDNS, onde o servidor solicitou explicitamente HTTPS?

Longa pergunta:

Eu tenho um grande problema com o Chrome na minha organização. Eu uso o DNS para gerenciar o bloqueio de sites, sites que não são apropriados e são potencialmente um risco para a organização onde eu faço isso.

Eu só quero usar o Chrome na rede, pois o Internet Explorer tem problemas de compatibilidade com alguns sites que usamos (não podemos alterar isso nem usar sites diferentes). Portanto, usar o Internet Explorer não é uma solução.

Eu não quero instalar um navegador diferente, por vários motivos. Principalmente por causa da dificuldade de reescrever os complementos personalizados que usamos.

No entanto, recentemente, tive muitos problemas com erros SSL do Chrome. Não consigo usar minhas páginas de bloqueio do OpenDNS personalizadas, que usam o formulário de contato para solicitar um desbloqueio.

O Chrome geralmente bloqueia o OpenDNS para sites (um bom exemplo é o Facebook) que solicita HTTPS. Alguns sites como link (exemplo OpenDNS) Isso significa que o Chrome se recusa a carregar a página de bloqueio, explicando que o site está bloqueado. Em vez disso, eles costumam chamar o suporte de TI, mas querem uma solução, já que estão cansados de receber muitos erros de SSL.

Eu tentei descobrir maneiras de desativar isso. Eu tentei:

  • Digitando "continuar". Isso não funcionou.
  • Digitando "prosseguir", pressionando enter. Não funcionou
  • Não consigo mais encontrar phishing e anti-malware no Chrome, nos guias da Internet.
  • Não usando HTTPS. No entanto, há um redirecionamento automático para HTTPS na maioria dos sites. Portanto, o erro continua aparecendo.
  • Verificando meus relógios. Eles estavam corretos.

Alguém tem uma ideia sobre como desabilitar, contornar ou contornar esse "recurso"?

EDIT: Este é um exemplo do que estou falando - Eu encontrei isso no google images.

NOTA: NÃO bloqueio o Google.

EDIT 2: Meus relógios estão corretos. Eu não consigo parar de usar o OpenDNS.

    
por George 02.05.2014 / 23:51

4 respostas

2

Estou com você 100% sobre isso. Nossa empresa usa o OpenDNS para bloquear determinados sites. YouTube.com é um deles. No entanto, também emitimos "códigos de desvio" para que os funcionários contornem um site bloqueado. Veja como isso funciona:

  • O usuário acessa o YouTube.com, que é redirecionado automaticamente para o SSL
  • O OpenDNS bloqueia o domínio do youtube.com
  • O Chrome espera SSL do youtube.com, mas a resposta vem do OpenDNS ... por isso, os certificados não correspondem.

Então, o problema é: como você ignora o OpenDNS com seus códigos de desvio se o Google Chrome não der a opção?

Alternativas: Use o Firefox ou (é uma pena sugerir isso) no Internet Explorer.

    
por 28.05.2014 / 17:17
4

Então, você está redirecionando o site real do Google e reclamando quando o navegador do Google percebe que você interceptou o site do Google?

Crie o Chrome a partir do código-fonte e implante-o na sua empresa. Ou pare de usar o OpenDNS .

    
por 03.05.2014 / 00:33
2

Você está basicamente pedindo para quebrar a segurança SSL com sua sugestão.

O Chrome possui o recurso chamado certificados fixados, em que certificados de sites conhecidos são armazenados no navegador.

Isso significa que sempre que algum outro certificado além daquele para o destino desejado é apresentado, o navegador dá um aviso sobre um homem no ataque do meio.

É um recurso de segurança e não deve ser desativado.

    
por 03.05.2014 / 08:01
2

O seqüestro de SSL e a exibição de um certificado inválido é uma prática ruim da qual as pessoas precisam reclamar sempre que isso acontece. Com base na sua descrição, parece que esse tipo de invasão é exatamente o que o OpenDNS está fazendo.

A razão pela qual eu acho que é uma prática tão ruim é que pode fazer com que alguns usuários pensem que existem razões legítimas para seqüestrar o SSL, tal equívoco é ruim para a segurança.

Então, o que você pode fazer sobre isso?

Se você quiser ficar com o OpenDNS, recomendo que você encontre o endereço IP para o qual eles direcionam conexões seqüestradas. Na extremidade da sua rede, bloqueie todas as conexões de saída para esse endereço IP, exceto da porta 80. Verifique se os pacotes TCP SYN recebem um pacote TCP RST em retorno. Não é garantido que responder com um erro ICMP ou simplesmente descartar o SYN seja bem tratado pela pilha TCP de envio.

Se a conexão for sequestrada na camada DNS e um TCP RST for enviado ao tentar uma conexão com a porta 443, o navegador exibirá sua própria mensagem de erro, como "Esta página da Web não está disponível", que é muito melhor que o certificado aviso.

Você ainda pode exibir sua mensagem de erro personalizada para os usuários que se conectam à porta 80, mas, como outros apontaram, você não pode fazer isso com HTTPS, já que o objetivo inteiro do HTTPS é evitar isso.

Por que os usuários podem se conectar à porta 443 em vez da porta 80? Existem pelo menos três razões possíveis:

  • O usuário realmente digitou https:// em seu navegador.
  • O navegador teve um redirecionamento de http para https em cache.
  • O domínio tem segurança de transporte rigorosa ativada e o navegador está ciente disso.

Nesses casos, você não pode fornecer aos usuários uma página de erro personalizada, portanto, é necessário informá-los antecipadamente sobre como solicitar um desbloqueio.

    
por 28.05.2014 / 18:43

Tags

Caracteres estranhos da saída no shell O Nginx não inicia após a instalação [fechado]