Fedora Online Forum

Il forum della comunità italiana di Fedora

#1 01-11-2018 11:30:42

JohannesBrahms
Greenhorn
Registrato: 01-11-2018
Messaggi: 5

[Risolto] Firefox: questa connessione non è sicura

Buongiorno a tutti gli utenti del forum. Ho una Fedora 28 aggiornata, e da circa 3 giorni incontro problemi nella navigazione: di punto in bianco diverse pagine https (tra cui anche diversi siti bancari) non vengono più aperte.

https://banking.hellobank.it/it/login/

Questa connessione non è sicura

Il gestore di banking.hellobank.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.

https://www.homebanking.fcabank.it/hb/a … ?abi=03445

Questa connessione non è sicura

Il gestore di www.homebanking.fcabank.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.

Questo sito utilizza il protocollo HSTS (HTTP Strict Transport Security) per garantire che la connessione con Firefox avvenga esclusivamente in modo sicuro. Per questo motivo non è possibile aggiungere un’eccezione per questo certificato.

https://www.eurotlx.com/it/

Questa connessione non è sicura

Il gestore di www.eurotlx.com ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.

https://mail.tiscali.it/

Questa connessione non è sicura

Il gestore di mail.tiscali.it ha configurato il sito in modo non corretto. Per evitare potenziali furti di informazioni Firefox ha interrotto la connessione.

Se cancello la cronologia recente riesco a ricaricare le pagine per un po', e poi il problema si ripresenta.

Qualche prova con lynx:

$ lynx "https://www.homebanking.fcabank.it/hb/authentication/login.seam?abi=03445"
Errore SSL: unable to get local issuer certificate. Continuare? (n)
$ lynx "https://banking.hellobank.it/it/login/"
Errore SSL: unable to get local issuer certificate. Continuare? (n)

Nessun problema, con lynx, ad accedere a mail.tiscali.it e www.eurotlx.com.

Il problema sembra simile a quello di questa discussione.
Effettivamente, testando https://www.ssllabs.com/ssltest/analyze … llobank.it ottengo
https://www.ssllabs.com/ssltest/analyze … fcabank.it

This server does not support Forward Secrecy with the reference browsers. Grade capped to B.  MORE INFO »
This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B.  MORE INFO »
This server's certificate chain is incomplete. Grade capped to B.
This site works only in browsers with SNI support. 

https://www.ssllabs.com/ssltest/analyze … llobank.it

This server uses SSL 3, which is obsolete and insecure. Grade capped to B. MORE INFO »
This server uses RC4 with modern protocols. Grade capped to C.
This server does not support Forward Secrecy with the reference browsers. Grade capped to B.  MORE INFO »
This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B.  MORE INFO »
This server's certificate chain is incomplete. Grade capped to B.

https://www.ssllabs.com/ssltest/analyze … urotlx.com

This server is vulnerable to the Return Of Bleichenbacher's Oracle Threat (ROBOT) vulnerability. Grade set to F.  MORE INFO »

Nessun problema sembra essere rilevato da ssllabs.com sul sito mail.tiscali.it.
La cosa strana è che fino a pochi giorni fa sembrava funzionare tutto, e trattandosi in alcuni casi di siti bancari sono restio ad aggiungere un'eccezione, o a usare Chromium che sembra decisamente di bocca buona.
Cosa mi consigliate?

Ultima modifica di JohannesBrahms (04-11-2018 08:39:03)

Non in linea

#2 01-11-2018 17:04:23

tempus
Moderatore
Da Lombardia
Registrato: 16-11-2010
Messaggi: 2'296

Re: [Risolto] Firefox: questa connessione non è sicura

Molti istituti di credito (e vari enti anche di grosse dimensioni) hanno configurazioni poco raccomandabili.
Ho testato alcuni di questi siti con testssl.sh
Lasciare SSLv3 e RC4-SHA oggi come oggi è veramente poco raccomandabile. Purtroppo temo lo facciano per assicurare una compatibilità con IE6 su XP (ebbene sì)
Detto questo, non ho problemi a connettermi con alcuna di dette banche usando Firefox Developer Edition, mentre riscontro i tuoi stessi messaggi di errore usando Firefox for Fedora.
In Firefox Developer Edition puoi andare in about:preferences#privacy  -> Mostra certificati ed esportare manualmente "Entrust Certification Authority - L1M" (necessario per BNL/hellobank), quindi puoi importarlo in Firefox for Fedora ed assegnarli eventualmente attendibilità limitata all'identificazione di siti web. Firefox Developer Edition arriva con il suo NSS indipendente ma senz'altro affidabile. Da notare che il certificato di cui sopra, sebbene incluso, non sarebbe approvato per l'identificazione dei siti neanche in Firefox Developer Edition.


$ apropos [argomento]                         $ man [voce del manuale]
https://docs.fedoraproject.org/     |     https://apps.fedoraproject.org/     |     https://doc.fedoraonline.it

In linea

#3 01-11-2018 18:31:09

survive
Pinguino avanzato
Registrato: 22-07-2012
Messaggi: 124

Re: [Risolto] Firefox: questa connessione non è sicura

Non in linea

#4 01-11-2018 20:39:14

JohannesBrahms
Greenhorn
Registrato: 01-11-2018
Messaggi: 5

Re: [Risolto] Firefox: questa connessione non è sicura

Ti ringrazio per la risposta. Fermo restando che diversi siti bancari non sembrano proprio usare gli standard di sicurezza necessari, la cosa strana è che fino a 3 giorni fa non avevo problemi; da un altro computer con Fedora 28 aggiornata non ho problemi, e su questo, riavviando o cancellando la cronologia ricomincio ad accedere. Sembra un problema random. Possibile che si sovrapponga qualche problema del mio computer? Nel frattempo ho aggiornato a Fedora 29: all'inizio accedevo a tutti i siti; poi ho ricominciato ad avere i messaggi di errore che ho citato; sul sito di HelloBank solo con un profilo, ma non con l'altro. È molto strano. Se fosse solo un problema di sicurezza non dovrebbe accedere proprio. O sbaglio?

Non in linea

#5 01-11-2018 22:00:47

tempus
Moderatore
Da Lombardia
Registrato: 16-11-2010
Messaggi: 2'296

Re: [Risolto] Firefox: questa connessione non è sicura

JohannesBrahms ha scritto:

[...] da un altro computer con Fedora 28 aggiornata non ho problemi, e su questo, riavviando o cancellando la cronologia ricomincio ad accedere. Sembra un problema random. Possibile che si sovrapponga qualche problema del mio computer? [...]

Ho avviato una istanza di firefox "vergine" con

$ command -p firefox -P --no-remote

e mentre fcabank.it, eurotlx.com e mail.tiscali.it si caricano correttamente, per hellobank.it ho sempre "Questa connessione non è sicura" finché non importo il certificato.

L'errore HSTS di fcabank può essere dovuto a qualche pagina mal configurata una volta effettuato l'accesso che porta a una discrepanza in grado di rivelarsi all'accesso successivo .Non avendo un account presso quell'istituto non posso provare, ma certi indizi mi portano a pensarlo, oltre a

$ curl -skI "https://www.homebanking.fcabank.it/hb/authentication/login.seam?abi=03445"|grep -i strict-transport-security
Strict-Transport-Security: max-age=-224118128; includeSubDomains

Per rimuovere l'errore HSTS storicamente creatosi a causa di intemperanze del webmaster può tornare utile, in firefox, aprire la cronologia (Ctrl+Maiusc+H), selezionare il sito incriminato e selezionare quindi "Forget about this site"/"Dimentica questo sito"

Ultima modifica di tempus (01-11-2018 22:06:25)


$ apropos [argomento]                         $ man [voce del manuale]
https://docs.fedoraproject.org/     |     https://apps.fedoraproject.org/     |     https://doc.fedoraonline.it

In linea

#6 02-11-2018 15:42:25

JohannesBrahms
Greenhorn
Registrato: 01-11-2018
Messaggi: 5

Re: [Risolto] Firefox: questa connessione non è sicura

La cosa si fa sempre più misteriosa: al contrario di te, continuo ad avere problemi con www.homebanking.fcabank.it, mail.tiscali.it e eurotlx.com, mentre al momento hellobank.it viene caricato correttamente (al contrario di quanto riscontri tu).
Inoltre, all'inizio tutte le pagine vengono caricate senza errori, ma dopo un po', chiudendo e riaprendo firefox, ottengo nuovamente l'errore per tutte e tre. Altro fatto strano, se apro la cronologia, seleziono la pagina di eurotlx.com  e chiedo di dimenticare il sito, chiudendo e riaprendo firefox tutte le pagine incriminate (e non solo eurotlx.com) ricominciano a funzionare.
Continuo ad avere il dubbio che qualcosa sia andato storto su questo computer, ma il problema mi si era presentato ieri anche con un nuovo utente, e oggi dopo l'aggiornamento a Fedora 29. Inoltre, ieri usando un portatile con Fedora 28 aggiornata non avevo riscontrato problemi.
Ho anche pensato all'account Firefox, a cui però ho chiesto di sincronizzare solo i preferiti (e, in ogni caso, rimane il portatile con Fedora 28 che lavora correttamente).

Non in linea

#7 03-11-2018 18:08:40

marcomotta
Moderatore
Da Roma
Registrato: 18-01-2009
Messaggi: 2'787
Sito web

Re: [Risolto] Firefox: questa connessione non è sicura

Ho avuto un problema simile, in questi giorni, con diversi siti (repubblica.it e diversi altri). Dopo diverse prove, mi sono reso conto che il problema derivava da una modifica fatta per far funzionare un tema animato (vedi qui): avendo digitato, nella barra degli indirizzi,

about:config

e settato le variabili

lightweightThemes.persisted.footerURL
lightweightThemes.persisted.headerURL

a false, la prima volta il sito si apriva regolarmente, ma dalla seconda in poi avevo anch'io l'errore

Questa connessione non è sicura

Settando nuovamente a true le due variabili ho dovuto rinunciare all'animazione del tema, ma le pagine https, dopo aver chiuso e riaperto il browser, hanno ricominciato a funzionare.
N.B. Verificato anche su tutte le pagine menzionate nel post: ogni volta che setto a false le due variabili il problema si ripresenta, dopo aver chiuso e riaperto il browser, e scompare dimenticando un sito a piacere nella cronologia, ma solo fino alla chiusura del browser.


La filosofia è una disciplina con obiettivi, ma senza regole. La matematica è una disciplina con regole, ma senza obiettivi.
Un giorno ho incontrato un uomo che non aveva né obiettivi né regole. Studiava filosofia della matematica.

Non in linea

#8 04-11-2018 08:03:29

JohannesBrahms
Greenhorn
Registrato: 01-11-2018
Messaggi: 5

Re: [Risolto] Firefox: questa connessione non è sicura

Accidenti, è proprio così!

Riepilogando la situazione:

1) creando un nuovo profilo la situazione è esattamente quella descritta da Tempus: tutti i siti menzionati funzionano, tranne quello di HelloBank, almeno finché non si importa il relativo certificato. Nel mio abituale profilo, invece, il sito di HelloBank funziona regolarmente, in quanto il certificato è già presente (suppongo perché inserito da una vecchia versione di Firefox da cui è stato creato il profilo).
2) Settando a false anche una sola delle variabili lightweightThemes.persisted.footerURL e lightweightThemes.persisted.headerURL, diversi siti riportano il messaggio di errore "Questa connessione non è sicura" dopo aver chiuso e riaperto il browser per rendere effettive le modifiche. Tra questi, tiscali.it, eurotlx.com e www.homebanking.fcabank.it.
3) Per motivi per me misteriosi, diversi siti, tra cui google.it, fedoraonline.it e webank.it (e anche hellobank.it, se il relativo certificato è presente nel browser), continuano a funzionare regolarmente anche se le due variabili sono settate a false.
4) Stranamente, se vado nella cronologia, seleziono una pagina a piacere (anche se relativa ad un sito non interessato dal problema) e clicco su "Dimentica questo sito", chiudendo e riaprendo il browser tutte le pagine vengono aperte regolarmente, ma solo fino alla chiusura del browser. Alla successiva apertura il problema si ripresenta. Analoga situazione (non ricordo se solo alcune volte o sempre) se cancello una parte della cronologia.
5) Il problema non si presentava fino a pochi giorni fa, anche avendo le due variabili settate a false, presumo prima di un aggiornamento (vedo che il 21 ottobre è stato aggiornato libxcrypt: dal nome e dalla data potrebbe risalire a lì il problema).
6) Settando a true lightweightThemes.persisted.footerURL e lightweightThemes.persisted.headerUR il problema non si presenta più, in quanto tutte le pagine vengono nuovamente aperte regolarmente.
7) Mi domando se ci sia una logica nel nuovo comportamento del browser, o se si tratti di un bug; nel secondo caso, se sia da attribuire a firefox, o più probabilmente a qualche libreria (libxcrypt?).
8) Rimane il problema del grado B attribuito da ssllabs.com a due siti bancari, ma questo esula dagli scopi e dalle possibilità di questo sito.

In ogni caso, direi che sia risolto.

Non in linea

#9 04-11-2018 09:38:57

JohannesBrahms
Greenhorn
Registrato: 01-11-2018
Messaggi: 5

Re: [Risolto] Firefox: questa connessione non è sicura

JohannesBrahms ha scritto:

Il problema non si presentava fino a pochi giorni fa, anche avendo le due variabili settate a false, presumo prima di un aggiornamento (vedo che il 21 ottobre è stato aggiornato libxcrypt: dal nome e dalla data potrebbe risalire a lì il problema).

No, il problema è proprio la nuova versione di firefox. Eseguendo il downgrade alla versione 59

# dnf downgrade firefox --releasever 28
# dnf downgrade firefox --releasever 28

(al momento è necessario un doppio downgrade per  retrocedere alla versione 59) il problema non si presenta più. Quindi direi che la causa sia la nuova versione di Firefox (ovviamente, accoppiata al valore false assegnato a lightweightThemes.persisted.footerURL e/o lightweightThemes.persisted.headerURL).
Rimane da capire se è la conseguenza di una scelta motivata, o un bug.

Non in linea

#10 09-11-2018 18:48:14

tempus
Moderatore
Da Lombardia
Registrato: 16-11-2010
Messaggi: 2'296

Re: [Risolto] Firefox: questa connessione non è sicura

Ho riprovato oggi da F29 (updates-testing è abilitato) e riscontro lo stesso comportamento che descrissi al post #5

Se può essere utile,

$ sudo dnf info installed firefox
Pacchetti installati
Nome         : firefox
Versione     : 63.0.1
Rilascio     : 4.fc29
Arch         : x86_64
Dim.         : 233 M
Sorgente     : firefox-63.0.1-4.fc29.src.rpm
Repo         : @System
Dal repo     : updates-testing
Sommario     : Mozilla Firefox Web browser
URL          : https://www.mozilla.org/firefox/
Licenza      : MPLv1.1 or GPLv2+ or LGPLv2+
Descrizione  : Mozilla Firefox is an open-source web browser, designed for standards
             : compliance, performance and portability.

$ apropos [argomento]                         $ man [voce del manuale]
https://docs.fedoraproject.org/     |     https://apps.fedoraproject.org/     |     https://doc.fedoraonline.it

In linea

#11 09-11-2018 19:39:10

marcomotta
Moderatore
Da Roma
Registrato: 18-01-2009
Messaggi: 2'787
Sito web

Re: [Risolto] Firefox: questa connessione non è sicura

Ho appena aggiornato alla tua stessa versione, e secondo me il problema persiste. Lasciamo perdere il caso HelloBank, avendo verificato come te che non va se non si importa il certificato (a meno che non fosse stato per qualche motivo già presente nel profilo).
Digita about:config e assegna a lightweightThemes.persisted.headerURL il valore false. Chiudi e riapri firefox per rendere effettiva la modifica. Ora, oltre a vedere muoversi la coda di Animated Cat (se il tema è installato), ti accorgerai che, mentre molte pagine https continuano a funzionare regolarmente (per esempio, google.it, astronomia.com, aliveuniverse.today, ilpoliedrico.com, scientificast.it, forum.fedoraonline.it, webank.it, finecobank.com, borsaitaliana.it, ssllabs.com, investireoggi.it, amaroma.it, servizioelettriconazionale.it e fcabank.it), diverse altre daranno il messaggio di errore descritto nella discussione (a titolo di esempio, eurotlx.com, homebanking.fcabank.it, tiscali.it, focus.it, scienzenotizie.it e repubblica.it). Ho fatto installare su Windows a mio figlio l'ultima versione di Firefox, che mi sembra proprio la stessa installata in Fedora, ma lì non riscontro nessun problema. Tuttavia il problema appare proprio a aprtire dalla versione 63 di Firefox, in quanto effettivamente, facendo il downgrade di Firefox ad una versione precedente, non si riscontrano più messaggi di errore, anche se lightweightThemes.persisted.headerURL è false.


La filosofia è una disciplina con obiettivi, ma senza regole. La matematica è una disciplina con regole, ma senza obiettivi.
Un giorno ho incontrato un uomo che non aveva né obiettivi né regole. Studiava filosofia della matematica.

Non in linea

Piè di pagina