Desativando o HSTS para navegadores gerenciados

7

Quais são as minhas opções para desabilitar o HSTS tanto para novos sites quanto para sites englobados no navegador?

O uso da inspeção HTTPS altera inerentemente a impressão digital de um site, agindo como um homem no meio; visitar um site visitado anteriormente sem inspeção HTTPS ou um dos sites pré-carregados resultará em um site inacessível. Quais opções - se houver - eu tenho outras que desativam a inspeção?

Aqui está um exemplo, o Gmail no Chrome com inspeção HTTPS:

Plano de fundo

Estou configurando um novo firewall e estou tentando limpar minhas regras de inspeção HTTPS. Eu realmente quero evitar adicionar sites à lista que possam ter conteúdo contribuído pelo usuário, como mail.google.com / gmail.com.

Desde a última vez em que fiz isso, HSTS / HTTP Strict Transport Security se tornou muito mais prevalente.

Observação - tentei manter esse genérico, pois isso pode ser um problema para muitas configurações diferentes. Eu estou esperando por um método cross OS / cross-browser que seria aplicável a qualquer produto de firewall, mas que está pedindo um pouco demais. Um foco em (IE, Chrome, Firefox) usando o Windows (7+) seria um ótimo começo. Métodos centrados na Diretiva de Grupo também seriam muito úteis.

    
por Tim Brigham 12.08.2014 / 17:30

1 resposta

5

Você está confundindo algumas coisas diferentes aqui, e eu suspeito que isso esteja levando você a algumas conclusões falsas.

  • O HSTS ("HTTP Strict Transport Security") é (apenas!) sobre a obrigatoriedade de que o HTTPS seja usado para conexões com sites especificados. Ele não impõe nada sobre quais chaves, certs, etc. são usados para autenticar a conexão.
  • A fixação de chave pública especifica que, se uma conexão HTTPS for estabelecida para um determinado nome, a cadeia de certificados deve incluir uma de uma determinada lista de desbloqueio de chaves públicas; caso contrário, a conexão será considerada inválida.

Como a inspeção HTTPS é (infelizmente) uma prática amplamente implantada, a prática geral entre os navegadores é que as cadeias de certificados que terminam em um certificado de CA raiz instalado localmente estão isentas de verificações de fixação de chaves públicas. Encontrei uma declaração do Adam Langley do Chrome sobre o comportamento do Chrome (a seção "E sobre o MITM proxies, Fiddler etc? "), mas minha experiência é semelhante para outros navegadores.

Estou bastante confiante de que o problema indicado na captura de tela não é que o navegador esteja travado em um alfinete, mas sim que ele não está reconhecendo o certificado como encadeado a um certificado de CA confiável. Isso acionará uma falha de HSTS, porque "usando HTTPS" é especificado mais corretamente como "usando HTTPS adequadamente protegidos, incluindo cifras seguras e um certificado confiável para autenticação". Sugiro verificar novamente se o certificado de CA raiz do proxy MitM está instalado corretamente e reconhecido como válido pelo (s) navegador (es) em uso.

    
por 13.08.2015 / 01:15