是否可以在 Chrome 中禁用证书的证书透明度(审核日志检查)?
mbr*_*nyc 7 security google-chrome ssl-certificate certificate-authority
我们通过 Windows 证书存储中的受信任根证书在防火墙中使用 HTTPS 深度数据包检查。Chrome 最近推出了一项功能,可以对证书颁发进行额外检查,称为证书透明度,其中每个使用的证书(在某个日期之后颁发)都会根据已知的良好 CA 列表进行检查。
使用 HTTPS 深度数据包检查(又名 HTTPS 代理/卸载/MiTM)现在会导致 Chrome 根据此示例出错。
是否可以禁用 Chrome 中审核日志检查的唯一功能?
更新以响应womble 的回答。
这次更新是错误的。Womble 的回答是正确的,见下文。
这是我最初的想法,但显然不是。
以下是过于正直的 Chrome 截图:
无中间件:
中间件:
它似乎与证书透明度/审计日志检查直接相关,而不是与 SHA-1 的使用和即将在保姆 Chrome 中的折旧有关。值得注意的是,我们的内部 CA 证书确实会在 2017 年之后过期。
更新 2,womble 是对的:
感谢 womble 的回答,我重新查看了 Chrome 团队的通知,并注意到任何使用 SHA-1 的证书过期时间为 2017+ 的网站都会收到“肯定不安全”警告(被划掉的红色锁图标)。
为了证明我的 MiTM/代理是罪魁祸首,我使用了一个 salesforce 测试站点(通过躲避知识库文章位于)
无中间件:
中间件:
*note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.
我的代理/MiTM 正在将算法从 SHA-256 降级到 SHA-1。啧啧!Chrome 完全按照通知的意图行事,我不相信我的用户会在我使用 MiTM/代理解决此问题后收到“肯定不安全”的通知。
谢谢!
更新 3: 记得查看固件更新/发行说明...现在支持 SHA-256。定于周五更新。应该没问题。
假设您指向的示例实际上是关于“该站点使用过时的安全设置”的示例,而不是“没有公共审核记录”,那么大约 99.99% 的人可以确定您的问题不是 CT,原因有几个:
- 据我了解,只有系统信任库中的 CA 证书才能进行 CT 验证;本地管理的 CA 证书不需要 CT 处理(几乎正是您所拥有的原因)。
- CT验证失败目前只对EV证书有影响,唯一的负面影响是证书失去EV“绿条”待遇。
关于“使用过时的安全设置”的错误实际上意味着您的 MitM 代理正在颁发基于 SHA-1 的证书,其到期日期在很远的将来,这可能不是一个成功的想法。
| 归档时间: |
|
| 查看次数: |
7039 次 |
| 最近记录: |