Назад | Перейти на главную страницу

Можно ли отключить прозрачность сертификата (проверку журнала аудита) сертификатов в Chrome?

Мы используем глубокую проверку пакетов HTTPS в нашем брандмауэре через доверенный корневой сертификат в хранилище сертификатов Windows. Chrome недавно продвинул вперед функцию для выполнения дополнительных проверок выдачи сертификатов под названием «Прозрачность сертификатов», где каждый используемый сертификат (который был выпущен после определенной даты) сравнивается с известным надежным списком центров сертификации.

Использование глубокой проверки пакетов HTTPS (также известной как проксирование / выгрузка HTTPS / MiTM) теперь вызывает ошибку Chrome в соответствии с этот пример.

Можно ли отключить единственную функцию проверки журнала аудита в Chrome?

Обновление в ответ на ответ Womble.

Это обновление неверное. Ответ Уомбла правильный, см. Ниже.

Так я думал изначально, но это явно не так.

Вот скриншоты излишне праведного Chrome:

Нет MiTM:

MiTM:

Похоже, что это напрямую связано с прозрачностью сертификата / проверкой журнала аудита, а не с использованием SHA-1 и предстоящая амортизация в няне Chrome. Стоит отметить, что срок действия нашего внутреннего сертификата CA истекает после 2017 года.

Обновление 2, womble прав:

Благодаря ответу womble я пересмотрел уведомление от команды Chrome, и заметил, что любой сайт с сертификатом с истечением срока действия 2017+, который использует SHA-1, получит предупреждение «явно небезопасно» (перечеркнутый красный значок замка).

Чтобы доказать, что виноват мой MiTM / прокси, я использовал тестовый сайт Salesforce (расположен через приглушение статья в базе знаний)

Нет MiTM:

MiTM:

 *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.

Мой прокси / MiTM понижает алгоритм с SHA-256 до SHA-1. Тск Тск! Chrome действует точно так, как было задумано в соответствии с уведомлением, и я не верю, что мой пользователь будет получать «явно небезопасные» уведомления, как только я решу эту проблему с помощью MiTM / прокси.

Спасибо!

Обновление 3: Не забудьте проверить обновления прошивки / примечания к выпуску ... Теперь поддерживается SHA-256. Обновление запланировано на пятницу. Должно быть хорошо.

Предполагая, что пример, на который вы указываете, на самом деле касается «На сайте используются устаревшие настройки безопасности», а не «не имеет записей общедоступного аудита», примерно на 99,99% уверены, что ваша проблема не в CT, по нескольким причинам. :

  • Насколько я понимаю, только сертификаты CA в системном хранилище доверенных сертификатов подлежат проверке CT; Сертификаты CA с локальным управлением не требуют обработки CT (в значительной степени именно по той причине, что у вас есть).
  • Отсутствие проверки CT в настоящее время имеет значение только для сертификатов EV, и единственным негативным воздействием является то, что сертификат теряет статус «зеленой полосы» EV.

Ошибка об «использовании устаревших настроек безопасности» на самом деле означает, что ваш прокси-сервер MitM выдает сертификаты на основе SHA-1 с датами истечения срока действия в далеком будущем, что, вероятно, не является такой выигрышной идеей.