是否可以禁用Chrome中证书的证书透明度(审核日志检查)?

Modified on: Fri, 08 Nov 2019 09:40:02 +0800

我们通过Windows证书存储中的受信任根证书在我们的防火墙中使用HTTPS深度数据包检查。 Chrome最近推出了一项功能,可以对名为Certificate Transparency的证书颁发执行额外检查,其中使用的每个证书(在特定日期之后发布)都会根据已知良好的CA列表进行检查。

根据此示例,使用HTTPS深度数据包检查(即HTTPS代理/卸载/ MiTM)现在会导致Chrome出错

是否可以在Chrome中禁用审核日志检查的唯一功能?

响应womble的回答进行更新。

此更新错误。 Womble的答案是正确的,见下文。

这是我原先的想法,但显然不是。

以下是过度正确Chrome的屏幕截图:

没有MiTM:

MITM:

它似乎与证书透明度/审核日志检查直接相关,而不是使用SHA-1和即将推出的保姆Chrome折旧。值得注意的是,我们的内部CA证书确实在2017年后到期。

更新2,womble是对的:

感谢womble的回答,我重新审核了来自Chrome团队的通知,并注意到任何使用SHA-1的2017+过期证书的网站都会收到“肯定不安全”警告(划掉红色锁定图标)。

为了证明我的MiTM /代理是罪魁祸首,我使用salesforce测试网站(位于躲避知识库文章

没有MiTM:

MITM:

 *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.

我的代理/ MiTM正在将算法从SHA-256降级为SHA-1。 Tsk Tsk!
Chrome根据通知完全按照预期行事,我不相信一旦我使用MiTM /代理解决此问题,我的用户就会收到“肯定不安全”的通知。

谢谢!

更新3:
请记住检查固件更新/发行说明...现在支持SHA-256。周五更新。应该没事。

最佳答案

假设您指向的示例实际上是“网站使用过时的安全设置”,而不是“没有公共审核记录”,大约99.99%确定您的问题不是CT,有几个原因:

  • 据我了解,系统信任库中只有CA证书需要进行CT验证;本地管理的CA证书不需要CT处理(几乎就是您获得的原因)。
  • CT验证失败仅对目前的EV证书有影响,唯一的负面影响是证书失去EV“绿条”处理。

关于“使用过时的安全设置”的错误实际上意味着您的MitM代理正在发布具有到期日期的基于SHA-1的证书,这可能不是一个成功的想法。

作者:,womble

相关问答

添加新评论