É possível desativar a Transparência do Certificado (verificação do log de auditoria) dos certificados no Chrome?

Navegue suas respostas
7

Utilizamos a inspeção profunda de pacotes HTTPS em nosso firewall por meio de um certificado raiz confiável no armazenamento de certificados do Windows. Recentemente, o Chrome avançou com um recurso para executar verificações adicionais na emissão de certificados, chamada Transparência do certificado, em que cada certificado usado (emitido após uma determinada data) é verificado em relação a uma boa lista de CAs conhecidas.

O uso de inspeção profunda de pacotes HTTPS (também conhecido como HTTPS proxying / offloading / MiTM) agora faz com que o Chrome cometa erros de acordo com este exemplo .

É possível desativar o recurso exclusivo da verificação de registros de auditoria no Chrome?

Atualização em resposta a resposta da womble .

Esta atualização está errada. A resposta da Womble está correta, veja abaixo.

Isso é o que eu pensava originalmente, mas claramente não é.

Veja as capturas de tela do Chrome excessivamente correto:

Não MiTM:

MiTM:

Parece que está diretamente relacionado à verificação de transparência / registro de auditoria cert e não ao uso de SHA-1 e depreciação futura em babá Chrome . Vale a pena notar que o nosso certificado interno de CA expira depois de 2017.

Atualização 2, womble está certo:

Graças à resposta da womble, revisei o aviso da equipe do Chrome , e notou que qualquer site com um certificado com expiração de 2017 + que use SHA-1 receberá o aviso "afirmativamente inseguro" (o ícone de cadeado vermelho).

Para provar minha culpa ao MiTM / proxy, usei um site de teste de força de vendas (localizado via ducking um artigo da KB )

Não MiTM:

MiTM:

 *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.

Meu proxy / MiTM está fazendo o downgrade do algoritmo SHA-256 para SHA-1. Tsk Tsk! O Google Chrome age exatamente conforme o planejado de acordo com o aviso, e não acredito que meus usuários receberão notificações "afirmativamente inseguras" assim que eu resolver esse problema com o MiTM / proxy.

Obrigado!

Atualização 3: Lembre-se de verificar as atualizações de firmware / notas de lançamento ... SHA-256 agora suportado. Atualize slated sexta-feira. Deve estar bem.

    
por mbrownnyc 26.06.2015 / 20:06

1 resposta

5

Supondo que o exemplo para o qual você está apontando é aquele sobre "O site está usando configurações de segurança desatualizadas", e não "não tem registros de auditoria pública", cerca de 99,99% de certeza de que seu problema não é CT por várias razões:

  • No meu entender, apenas os certificados de CA no armazenamento confiável do sistema estão sujeitos à validação de CT; certificados de CA gerenciados localmente não exigem tratamento de CT (por praticamente exatamente o motivo que você tem).
  • A validação de CT em falha só é importante para os certificados EV no presente momento, e o único impacto negativo é que o certificado perde o tratamento EV "barra verde".

O erro sobre "usar configurações de segurança desatualizadas" na verdade significa que seu proxy MitM está emitindo certificados baseados em SHA-1 com datas de expiração em um futuro distante, o que provavelmente não é uma ideia tão vencedora.

    
por 07.07.2015 / 13:46

Tags

Veja a descrição do computador de rede no Explorer Permitir que o usuário padrão execute o programa como administrador local sem prompt de elevação