我在使用透明 TLS 检查的环境中使用 chrome。有一个私人 CA 颁发证书,可在受信任的机构存储中找到。当我访问 mail.google.com 时,我没有收到警告。我预计会收到警告,因为证书颁发者与静态 pinset 不匹配(https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json)。
为什么我可以连接到 google.com 而没有警告(例如 pinset 失败)?这让我很担心,因为有很多 CA,其中任何一个都可能为 google.com 颁发证书。
证书透明度能解决这个问题吗?
答案1
为什么我可以连接到 google.com 而没有任何警告(例如密码设置失败)?
因为如果 CA 是明确添加为受信任的 CA(即不是来自默认 CA 存储但仍受信任的 CA),浏览器会忽略固定。这样做是为了与值得信赖SSL 拦截不仅在企业环境中进行,而且还被各种本地防病毒产品所采用。
证书透明度能解决这个问题吗?