Chrome、静态 PKP 集和 TLS 在没有警告的情况下进行检查

Chrome、静态 PKP 集和 TLS 在没有警告的情况下进行检查

我在使用透明 TLS 检查的环境中使用 chrome。有一个私人 CA 颁发证书,可在受信任的机构存储中找到。当我访问 mail.google.com 时,我没有收到警告。我预计会收到警告,因为证书颁发者与静态 pinset 不匹配(https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json)。

为什么我可以连接到 google.com 而没有警告(例如 pinset 失败)?这让我很担心,因为有很多 CA,其中任何一个都可能为 google.com 颁发证书。

证书透明度能解决这个问题吗?

答案1

为什么我可以连接到 google.com 而没有任何警告(例如密码设置失败)?

因为如果 CA 是明确添加为受信任的 CA(即不是来自默认 CA 存储但仍受信任的 CA),浏览器会忽略固定。这样做是为了与值得信赖SSL 拦截不仅在企业环境中进行,而且还被各种本地防病毒产品所采用。

证书透明度能解决这个问题吗?

否。另请参阅Expect-CT 在企业环境中对内容检查的效果如何?

相关内容