He actualitzat el Firefox, fins aquí tot bé. He passat uns dies sense NoScript, ara ja ha tornat. I també he vist una coseta sorprenent.

Resulta que el Firefox fa servir un magatzem de certificats separat del sistema operatiu, Explorer i Chrome fan servir el del sistema. I el Firefox ha començat a queixar-se del certificat de Gmail. WTF?!! El certificat que fa servir Google per Gmail no està al magatzem del Firefox? Però a Explorer i Chrome funciona!??? MMmmm... suspicious!

Resulta que si es mira el certificat que es servir des de l'empresa on treballo surt això:

En canvi si es mira el certificat navegant en un ordinador "normal":

Es pot observar que la cadena de validació dels certificats és diferent, l'emissor també.

Per tant si vull fer servir Gmail en Firefox haig de posar al magatzem de certificats del FFox els certificats arrel de l'empresa que permeten validar el certificat de "mentida" que fa servir l'empresa per Gmail. I com es fa un canvi de certificats així? L'explicació és sencilla, ho fa el Proxy de l'empresa, el Proxy es comunica amb els servidors de Google amb el certificat "bo", i amb el navegador de l'usuari amb un certificat de "mentida", que es valida perque el departament de TI posa al magatzem de la màquina el certificat arrel de l'empresa. Es a dir, el Proxy actua com si fos un atac man-in-the-middle (MITM). En altres paraules l'empresa està vigilant tots els correus de Gmail que envien els seus treballadors.

Curiosament, això només passa amb Gmail, amb altres connexions SSL el proxy no fa la substitució del certificat SSL. Cal deduir que l'empresa no farà servir la informació en clar que captura el Proxy per res beneficiós pel treballador, ergo deixaré de fer servir Gmail al PC de l'empresa i el faré servir al mòbil. També ara al veure el cadenat verd SSL davant la URL no és garantia que el trafic estigui xifrat end-to-end (de principi a fi).