Buongiorno a tutti gli utenti del forum. Ho una Fedora 28 aggiornata, e da circa 3 giorni incontro problemi nella navigazione: di punto in bianco diverse pagine https (tra cui anche diversi siti bancari) non vengono più aperte.

https://banking.hellobank.it/it/login/

[code]Questa connessione non è sicura

Il gestore di banking.hellobank.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.[/code]

https://www.homebanking.fcabank.it/hb/authentication/login.seam?abi=03445

[code]Questa connessione non è sicura

Il gestore di www.homebanking.fcabank.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.

Questo sito utilizza il protocollo HSTS (HTTP Strict Transport Security) per garantire che la connessione con Firefox avvenga esclusivamente in modo sicuro. Per questo motivo non è possibile aggiungere un’eccezione per questo certificato.[/code]

https://www.eurotlx.com/it/

[code]Questa connessione non è sicura

Il gestore di www.eurotlx.com ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.[/code]

https://mail.tiscali.it/

[code]Questa connessione non è sicura

Il gestore di mail.tiscali.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.[/code]

Se cancello la cronologia recente riesco a ricaricare le pagine per un po’, e poi il problema si ripresenta.

Qualche prova con lynx:

$ lynx "https://www.homebanking.fcabank.it/hb/authentication/login.seam?abi=03445" Errore SSL: unable to get local issuer certificate. Continuare? (n)

$ lynx "https://banking.hellobank.it/it/login/" Errore SSL: unable to get local issuer certificate. Continuare? (n)
Nessun problema, con lynx, ad accedere a mail.tiscali.it e http://www.eurotlx.com.

Il problema sembra simile a quello di https://forum.fedoraonline.it/viewtopic.php?id=25779 discussione.
Effettivamente, testando https://www.ssllabs.com/ssltest/analyze.html?d=banking.hellobank.it ottengo
https://www.ssllabs.com/ssltest/analyze.html?d=www.homebanking.fcabank.it

This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO » This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B. MORE INFO » This server's certificate chain is incomplete. Grade capped to B. This site works only in browsers with SNI support.

https://www.ssllabs.com/ssltest/analyze.html?d=banking.hellobank.it

This server uses SSL 3, which is obsolete and insecure. Grade capped to B. MORE INFO » This server uses RC4 with modern protocols. Grade capped to C. This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO » This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B. MORE INFO » This server's certificate chain is incomplete. Grade capped to B.

https://www.ssllabs.com/ssltest/analyze.html?d=www.eurotlx.com

This server is vulnerable to the Return Of Bleichenbacher's Oracle Threat (ROBOT) vulnerability. Grade set to F.  MORE INFO »

Nessun problema sembra essere rilevato da ssllabs.com sul sito mail.tiscali.it.
La cosa strana è che fino a pochi giorni fa sembrava funzionare tutto, e trattandosi in alcuni casi di siti bancari sono restio ad aggiungere un’eccezione, o a usare Chromium che sembra decisamente di bocca buona.
Cosa mi consigliate?

Molti istituti di credito (e vari enti anche di grosse dimensioni) hanno configurazioni poco raccomandabili.
Ho testato alcuni di questi siti con https://github.com/drwetter/testssl.sh.git
Lasciare SSLv3 e RC4-SHA oggi come oggi è veramente poco raccomandabile. Purtroppo temo lo facciano per assicurare una compatibilità con IE6 su XP (ebbene sì)
Detto questo, non ho problemi a connettermi con alcuna di dette banche usando Firefox Developer Edition, mentre riscontro i tuoi stessi messaggi di errore usando Firefox for Fedora.
In Firefox Developer Edition puoi andare in about:preferences#privacy -> Mostra certificati ed esportare manualmente “Entrust Certification Authority - L1M” (necessario per BNL/hellobank), quindi puoi importarlo in Firefox for Fedora ed assegnarli eventualmente attendibilità limitata all’identificazione di siti web. Firefox Developer Edition arriva con il suo NSS indipendente ma senz’altro affidabile. Da notare che il certificato di cui sopra, sebbene incluso, non sarebbe approvato per l’identificazione dei siti neanche in Firefox Developer Edition.

qui c’è la spiegazione:

https://support.mozilla.org/it/kb/blocco-contenuti-non-sicuri?redirectlocale=en-US&as=u&redirectslug=how-does-content-isnt-secure-affect-my-safety&utm_source=inproduct

Ti ringrazio per la risposta. Fermo restando che diversi siti bancari non sembrano proprio usare gli standard di sicurezza necessari, la cosa strana è che fino a 3 giorni fa non avevo problemi; da un altro computer con Fedora 28 aggiornata non ho problemi, e su questo, riavviando o cancellando la cronologia ricomincio ad accedere. Sembra un problema random. Possibile che si sovrapponga qualche problema del mio computer? Nel frattempo ho aggiornato a Fedora 29: all’inizio accedevo a tutti i siti; poi ho ricominciato ad avere i messaggi di errore che ho citato; sul sito di HelloBank solo con un profilo, ma non con l’altro. È molto strano. Se fosse solo un problema di sicurezza non dovrebbe accedere proprio. O sbaglio?

Ho avviato una istanza di firefox “vergine” con

$ command -p firefox -P --no-remote

e mentre fcabank.it, eurotlx.com e mail.tiscali.it si caricano correttamente, per hellobank.it ho sempre “Questa connessione non è sicura” finché non importo il certificato.

L’errore HSTS di fcabank può essere dovuto a qualche pagina mal configurata una volta effettuato l’accesso che porta a una discrepanza in grado di rivelarsi all’accesso successivo .Non avendo un account presso quell’istituto non posso provare, ma https://securityheaders.com/?q=https%3A%2F%2Fwww.homebanking.fcabank.it%2Fhb%2Fauthentication%2Flogin.seam%3Fabi%3D03445&hide=on&followRedirects=on, oltre a

$ curl -skI "https://www.homebanking.fcabank.it/hb/authentication/login.seam?abi=03445"|grep -i strict-transport-security Strict-Transport-Security: max-age=-224118128; includeSubDomains
Per rimuovere l’errore HSTS storicamente creatosi a causa di intemperanze del webmaster può tornare utile, in firefox, aprire la cronologia (Ctrl+Maiusc+H), selezionare il sito incriminato e selezionare quindi “Forget about this site”/“Dimentica questo sito”

La cosa si fa sempre più misteriosa: al contrario di te, continuo ad avere problemi con http://www.homebanking.fcabank.it, mail.tiscali.it e eurotlx.com, mentre al momento hellobank.it viene caricato correttamente (al contrario di quanto riscontri tu).
Inoltre, all’inizio tutte le pagine vengono caricate senza errori, ma dopo un po’, chiudendo e riaprendo firefox, ottengo nuovamente l’errore per tutte e tre. Altro fatto strano, se apro la cronologia, seleziono la pagina di eurotlx.com e chiedo di dimenticare il sito, chiudendo e riaprendo firefox tutte le pagine incriminate (e non solo eurotlx.com) ricominciano a funzionare.
Continuo ad avere il dubbio che qualcosa sia andato storto su questo computer, ma il problema mi si era presentato ieri anche con un nuovo utente, e oggi dopo l’aggiornamento a Fedora 29. Inoltre, ieri usando un portatile con Fedora 28 aggiornata non avevo riscontrato problemi.
Ho anche pensato all’account Firefox, a cui però ho chiesto di sincronizzare solo i preferiti (e, in ogni caso, rimane il portatile con Fedora 28 che lavora correttamente).

Ho avuto un problema simile, in questi giorni, con diversi siti (repubblica.it e diversi altri). Dopo diverse prove, mi sono reso conto che il problema derivava da una modifica fatta per far funzionare un tema animato (vedi %url%): avendo digitato, nella barra degli indirizzi,

about:config

e settato le variabili

lightweightThemes.persisted.footerURL lightweightThemes.persisted.headerURL
a false, la prima volta il sito si apriva regolarmente, ma dalla seconda in poi avevo anch’io l’errore

Questa connessione non è sicura

Settando nuovamente a true le due variabili ho dovuto rinunciare all’animazione del tema, ma le pagine https, dopo aver chiuso e riaperto il browser, hanno ricominciato a funzionare.
N.B. Verificato anche su tutte le pagine menzionate nel post: ogni volta che setto a false le due variabili il problema si ripresenta, dopo aver chiuso e riaperto il browser, e scompare dimenticando un sito a piacere nella cronologia, ma solo fino alla chiusura del browser.

Accidenti, è proprio così!

Riepilogando la situazione:

1. creando un nuovo profilo la situazione è esattamente quella descritta da Tempus: tutti i siti menzionati funzionano, tranne quello di HelloBank, almeno finché non si importa il relativo certificato. Nel mio abituale profilo, invece, il sito di HelloBank funziona regolarmente, in quanto il certificato è già presente (suppongo perché inserito da una vecchia versione di Firefox da cui è stato creato il profilo).
2. Settando a false anche una sola delle variabili lightweightThemes.persisted.footerURL e lightweightThemes.persisted.headerURL, diversi siti riportano il messaggio di errore “Questa connessione non è sicura” dopo aver chiuso e riaperto il browser per rendere effettive le modifiche. Tra questi, tiscali.it, eurotlx.com e http://www.homebanking.fcabank.it.
3. Per motivi per me misteriosi, diversi siti, tra cui google.it, fedoraonline.it e webank.it (e anche hellobank.it, se il relativo certificato è presente nel browser), continuano a funzionare regolarmente anche se le due variabili sono settate a false.
4. Stranamente, se vado nella cronologia, seleziono una pagina a piacere (anche se relativa ad un sito non interessato dal problema) e clicco su “Dimentica questo sito”, chiudendo e riaprendo il browser tutte le pagine vengono aperte regolarmente, ma solo fino alla chiusura del browser. Alla successiva apertura il problema si ripresenta. Analoga situazione (non ricordo se solo alcune volte o sempre) se cancello una parte della cronologia.
5. Il problema non si presentava fino a pochi giorni fa, anche avendo le due variabili settate a false, presumo prima di un aggiornamento (vedo che il 21 ottobre è stato aggiornato libxcrypt: dal nome e dalla data potrebbe risalire a lì il problema).
6. Settando a true lightweightThemes.persisted.footerURL e lightweightThemes.persisted.headerUR il problema non si presenta più, in quanto tutte le pagine vengono nuovamente aperte regolarmente.
7. Mi domando se ci sia una logica nel nuovo comportamento del browser, o se si tratti di un bug; nel secondo caso, se sia da attribuire a firefox, o più probabilmente a qualche libreria (libxcrypt?).
8. Rimane il problema del grado B attribuito da ssllabs.com a due siti bancari, ma questo esula dagli scopi e dalle possibilità di questo sito.

In ogni caso, direi che sia risolto.

No, il problema è proprio la nuova versione di firefox. Eseguendo il downgrade alla versione 59

[code]# dnf downgrade firefox --releasever 28

dnf downgrade firefox --releasever 28[/code]

(al momento è necessario un doppio downgrade per retrocedere alla versione 59) il problema non si presenta più. Quindi direi che la causa sia la nuova versione di Firefox (ovviamente, accoppiata al valore false assegnato a lightweightThemes.persisted.footerURL e/o lightweightThemes.persisted.headerURL).
Rimane da capire se è la conseguenza di una scelta motivata, o un bug.

Ho riprovato oggi da F29 (updates-testing è abilitato) e riscontro lo stesso comportamento che descrissi al post #5

Se può essere utile,

$ sudo dnf info installed firefox Pacchetti installati Nome : firefox Versione : 63.0.1 Rilascio : 4.fc29 Arch : x86_64 Dim. : 233 M Sorgente : firefox-63.0.1-4.fc29.src.rpm Repo : @System Dal repo : updates-testing Sommario : Mozilla Firefox Web browser URL : https://www.mozilla.org/firefox/ Licenza : MPLv1.1 or GPLv2+ or LGPLv2+ Descrizione : Mozilla Firefox is an open-source web browser, designed for standards : compliance, performance and portability.

Ho appena aggiornato alla tua stessa versione, e secondo me il problema persiste. Lasciamo perdere il caso HelloBank, avendo verificato come te che non va se non si importa il certificato (a meno che non fosse stato per qualche motivo già presente nel profilo).
Digita about:config e assegna a lightweightThemes.persisted.headerURL il valore false. Chiudi e riapri firefox per rendere effettiva la modifica. Ora, oltre a vedere muoversi la coda di Animated Cat (se il tema è installato), ti accorgerai che, mentre molte pagine https continuano a funzionare regolarmente (per esempio, google.it, astronomia.com, aliveuniverse.today, ilpoliedrico.com, scientificast.it, forum.fedoraonline.it, webank.it, finecobank.com, borsaitaliana.it, ssllabs.com, investireoggi.it, amaroma.it, servizioelettriconazionale.it e fcabank.it), diverse altre daranno il messaggio di errore descritto nella discussione (a titolo di esempio, eurotlx.com, homebanking.fcabank.it, tiscali.it, focus.it, scienzenotizie.it e repubblica.it). Ho fatto installare su Windows a mio figlio l’ultima versione di Firefox, che mi sembra proprio la stessa installata in Fedora, ma lì non riscontro nessun problema. Tuttavia il problema appare proprio a aprtire dalla versione 63 di Firefox, in quanto effettivamente, facendo il downgrade di Firefox ad una versione precedente, non si riscontrano più messaggi di errore, anche se lightweightThemes.persisted.headerURL è false.

Segnalo che da qualche giorno, con gli ultimi aggiornamenti di firefox, la coda di “Animated Cat” ha ripreso a muoversi da sola (senza dover settare nessuna variabile in about:config), e tutti i siti menzionati nei post precedenti continuano a funzionare regolarmente (nessun problema di “connessione non sicura”).