Исправить / обойти ошибку «Невозможно подключиться к реальному заблокированному веб-сайту» в Google Chrome с блокировкой OpenDNS

Tl; Dr:

Как сделать так, чтобы Chrome не отказывался загружать страницы, заблокированные OpenDNS, если сервер явно запросил HTTPS?

Длинный вопрос:

У меня в организации большая проблема с Chrome. Я использую DNS для управления блокировкой веб-сайтов, для сайтов, которые не подходят и потенциально представляют риск для организации, где я это делаю.

Я хочу использовать Chrome только по сети, поскольку у Internet Explorer есть проблемы с совместимостью с некоторыми сайтами, которые мы используем (мы также не можем изменить это или использовать другие сайты). Поэтому использование Internet Explorer не является решением.

Я не хочу устанавливать другой браузер по нескольким причинам. В основном из-за сложности переписывания индивидуальных надстроек, которые мы используем.

Однако в последнее время у меня было много проблем с ошибками Chrome SSL. Я не могу использовать свои собственные страницы блокировки OpenDNS, которые используют контактную форму для запроса разблокировки.

Chrome часто блокирует OpenDNS для сайтов (хороший пример - Facebook), запрашивающих HTTPS. Некоторые сайты любят https://internetbadguys.com (Пример OpenDNS) Это означает, что Chrome отказывается загружать страницу блокировки, объясняя это тем, что сайт заблокирован. Вместо этого они часто обращаются в службу поддержки ИТ, но им нужно решение, так как им надоело получать много ошибок SSL.

Я пытался найти способы отключить это. Я пытался:

Набрав «продолжить». Это не сработало.
Набрав «продолжить», нажмите клавишу ввода. Не сработало
Я больше не могу найти фишинг и антивирус в Chrome в интернет-руководствах.
Без HTTPS. Однако на большинстве сайтов есть автоматическое перенаправление на HTTPS. Поэтому ошибка продолжает появляться.
Проверяю свои часы. Они были правы.

Есть ли у кого-нибудь идеи, как отключить, обойти или обойти эту "фичу"?

EDIT: это пример того, о чем я говорю - Я нашел это на изображениях Google.

ПРИМЕЧАНИЕ: Я НЕ блокирую Google.

РЕДАКТИРОВАТЬ 2: Мои часы правильные. Я тоже не могу перестать использовать OpenDNS.

Итак ... вы перенаправляете реальный сайт Google и жалуетесь, когда браузер Google замечает, что вы перехватили сайт Google?

Создайте Chrome из исходного кода и разверните его на своем предприятии. Или прекратить использовать OpenDNS.

Взлом SSL и последующее обслуживание недействительного сертификата - плохая практика, на которую люди должны жаловаться всякий раз, когда это происходит. Судя по вашему описанию, похоже, что именно такой захват и делает OpenDNS.

Я считаю, что это такая плохая практика, потому что она может заставить некоторых пользователей думать, что существуют законные причины для взлома SSL, такое заблуждение плохо для безопасности.

Итак, что вы можете с этим поделать?

Если вы хотите остаться с OpenDNS, я рекомендую вам найти IP-адрес, на который они направляют перехваченные соединения. На границе вашей сети заблокируйте все исходящие соединения с этим IP-адресом, кроме порта 80. Убедитесь, что пакеты TCP SYN получают взамен пакет TCP RST. Ответ с ошибкой ICMP или просто отбрасывание SYN не гарантируется, что он будет правильно обработан отправляющим стеком TCP.

Если соединение перехватывается на уровне DNS и при попытке подключения к порту 443 отправляется TCP RST, браузер отобразит собственное сообщение об ошибке, такое как «Эта веб-страница недоступна», что намного лучше, чем предупреждение о сертификате.

Вы по-прежнему можете отображать свое собственное сообщение об ошибке для пользователей, подключающихся к порту 80, но, как указывали другие, вы не можете сделать это с помощью HTTPS, поскольку вся цель HTTPS - предотвратить это.

Почему пользователи могут подключаться к порту 443, а не к порту 80 в первую очередь? Есть как минимум три возможных причины:

Пользователь действительно набрал https:// в свой браузер.
В браузере было перенаправление с http на кешированный https.
В домене включена строгая транспортная безопасность, и браузер знает об этом.

В этих случаях вы не можете предоставить пользователям настраиваемую страницу с ошибкой, поэтому вам необходимо заранее сообщить им, как запросить разблокировку.

Вы в основном просите взломать безопасность SSL своим предложением.

В Chrome есть функция закрепленных сертификатов, при которой известные сертификаты веб-сайтов хранятся внутри браузера.

Это означает, что всякий раз, когда предоставляется какой-либо другой сертификат, отличный от сертификата для желаемого пункта назначения, браузер выдает предупреждение об атаке Man in the middle.

Это функция безопасности, и ее не следует отключать.

Я с вами на 100% в этом вопросе. Наша компания использует OpenDNS для блокировки определенных веб-сайтов. YouTube.com - один из них. Однако мы также выдаем сотрудникам «коды обхода», чтобы обойти заблокированный сайт. Вот как это работает:

Пользователь переходит на YouTube.com, который автоматически перенаправляется на SSL.
OpenDNS блокирует домен youtube.com
Chrome ожидает SSL от youtube.com, но на самом деле ответ приходит от OpenDNS ... следовательно, сертификаты не совпадают.

Итак, проблема в том, как обойти OpenDNS с их кодами обхода, если Chrome даже не предоставляет вам такой возможности?

Альтернативы: используйте Firefox или (мне больно это предлагать) Internet Explorer.