Какие настройки маршрутизатора не позволят мне получить доступ к файлам CSS через https?

Question

Если я пытаюсь получить этот ресурс (файл CSS) с помощью моего браузера (ов):

https://secure.skypeassets.com/apollo/2.0.823/css/components.css

Я получаю эту ошибку:

С Firefox:

Это соединение ненадежно

Вы попросили Firefox безопасно подключиться к secure.skypeassets.com, но мы не можем подтвердить, что ваше соединение безопасное.

Обычно, когда вы пытаетесь установить безопасное соединение, сайты предоставляют доверенную идентификацию, чтобы доказать, что вы едете в нужное место. Тем не менее, идентичность этого сайта не может быть подтверждена. Что я должен делать?

Если вы обычно подключаетесь к этому сайту без проблем, эта ошибка может означать, что кто-то пытается выдать себя за сайт, и вам не следует продолжать.

Однако, если я подключу кабель Ethernet напрямую к кабельному модему, а не через маршрутизатор, я получу доступ к этому ресурсу без каких-либо проблем.

Поэтому мне кажется, что проблема в настройках маршрутизатора, а не в настройках сети для самого компьютера.

Маршрутизатор представляет собой беспроводной 8-портовый маршрутизатор D-Link DIR-632. Проблема видна на компьютерах, подключенных через кабель Ethernet, и компьютерах, подключенных через беспроводную сеть. Маршрутизатор сообщает, что прошивка обновлена.

РЕДАКТИРОВАТЬ:

Я вижу эту проблему со всеми страницами на сайте skype.com (никакие CSS-файлы не извлекаются, и поэтому все страницы выглядят довольно некрасиво). Другой HTTPS трафик в порядке. Это происходило столько, сколько я себя помню, но я не уверен, всегда ли это происходило с этим роутером.

БОЛЬШЕ РЕДАКТИРОВАТЬ:

Выбор "ADVANCED" показывает мне это:

Этот сервер не может доказать, что это secure.skypeassets.com; его сертификат безопасности не является доверенным для операционной системы вашего компьютера. Это может быть вызвано неверной конфигурацией или злоумышленником, перехватывающим ваше соединение.

Нажмите здесь, чтобы войти в secure.skypeassets.com (небезопасно)

Меня попросили предоставить сертификат. Было много вариантов, когда я пошел, чтобы сохранить это, и я не уверен, что сделал это правильно, но это застегнуто здесь. (Я думаю, что он был сохранен при посещении www.skype.com , который был плохо отформатирован, потому что не мог получить доступ к файлам CSS с secure.skypeassets.com . Но теперь я понял, что сделал это неправильно ... Я должен был сохранить сертификат, когда был на странице "Ваше соединение не является частным". К сожалению. Я мог бы пойти и получить другой сертификат сейчас, если это могло бы помочь, но я не уверен сейчас, если это была красная сельдь, в свете проблемы, решаемой путем изменения моих DNS-серверов.)

Answer 1

Вполне возможно, что кто-то управляет каким-то человеком в середине атаки. Войдите в роутер и проверьте, кто подключен. Если вы обнаружите подозрительную машину, просто измените свой пароль Wi-Fi и убедитесь, что вы используете шифрование WPA.

Answer 2

Поскольку проблема возникает только при подключении через маршрутизатор, этот маршрутизатор, скорее всего, возится с вашим трафиком. Эта конкретная ошибка означает, что сайт, видимый вашим компьютером, представляет сертификат SSL/TLS, который соответствует сайту, но выпущен ненадежным / неизвестным центром сертификации. По сути, может показаться, что маршрутизатор только что создал ключ CA и подписывает с ним сертификаты, пытаясь позволить себе расшифровать ваш HTTPS-трафик.

Я не нашел упоминания о настройке для этого маршрутизатора, которая разрешает такие махинации (кроме фильтров веб-сайтов, упомянутых в ответе Хертуту), но я обнаружил, что вредоносные версии микропрограмм были созданы для маршрутизаторов D-Link. Для страшного прочтения см. Анализ безопасности встроенного устройства (PDF) в крупномасштабном анализе . Вполне возможно, что ваш роутер был внедрен с такой плохой прошивкой и теперь шпионит за вами. Вы можете попытаться прошить на него известные хорошие прошивки, но плохие могут предотвратить это. Если флэш-память устраняет проблему HTTPS, измените пароль управления маршрутизатором, чтобы убедиться, что его не знают плохие парни. (Доступ к вашему маршрутизатору - это доступ к вашему трафику, когда опция "обновление" встроенного программного обеспечения является опцией.)

Если вспышка не помогает, купите новый роутер. Это единственный способ быть уверенным!

Answer 3

Статические ресурсы Skype размещены в сети доставки контента Akamai, которая направляет запросы на один из их всемирных серверов, который лучше всего подходит для вашего местоположения. Возможно, сгенерированный Akamai сертификат Skype недействителен на одном из серверов Akamai, или, возможно, один из их серверов просто вообще не размещает содержимое Skype (больше), и Akamai пытается показать вам страницу с ошибкой, используя другой сертификат.

Итак, просто дикая догадка: может быть, маршрутизатор использует другие настройки DNS, которые либо устарели (может быть, ссылаются на неправильный IP-адрес в целом), либо ссылаются на неправильно настроенный сервер Akamai, либо для фильтрации DNS-серверов (вы установили что-то вроде OpenDNS когда- нибудь?) ссылаясь на страницу отказа в доступе DNS-сервера.

Вы можете попробовать nslookup secure.skypeassets.com чтобы попытаться найти различия для двух соединений. (В первой строке будет указано, какой DNS-сервер используется, но обычно это относится к IP-адресу маршрутизатора или модема.)

Вы также можете сравнить выходные данные, полученные при использовании DNS Google:

nslookup secure.skypeassets.com 8.8.8.8

Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
secure.skypeassets.com  canonical name = secure.skypeassets.com.edgekey.net.
secure.skypeassets.com.edgekey.net  canonical name = secure.skypeassets.com.edgekey.net.globalredir.akadns.net.
secure.skypeassets.com.edgekey.net.globalredir.akadns.net   canonical name = e7766.b.akamaiedge.net.
Name:   e7766.b.akamaiedge.net
Address: 23.206.91.11

IP-адрес в последней строке, безусловно, может отличаться, не вызывая проблем, но, возможно, вы нашли IP-адрес, который не следует использовать.

Answer 4

Глядя на Руководство пользователя D-Link DIR-635 (pdf), я вижу, что он имеет функцию фильтров веб-сайта в качестве опции в функции контроля доступа. У меня нет опыта работы с этим конкретным маршрутизатором (и, следовательно, с этой функцией), но возможно, когда эти функции включены, маршрутизатор пытается представить вам экран, на котором написано что-то вроде "вам не разрешен доступ к этой странице" ,