私は透過的な TLS 検査を採用している環境で Chrome を使用しています。証明書を発行するプライベート CA があり、信頼された機関ストアで入手できます。mail.google.com にアクセスしても警告は表示されません。証明書の発行者が静的ピンセット (https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json)。
なぜ警告 (例: ピンセットの失敗) なしで google.com に接続できるのでしょうか? CA は多数存在し、そのいずれもが、たとえば google.com の証明書を発行する可能性があるため、これは私にとって懸念事項です。
証明書の透明性によってこの問題は解決されますか?
答え1
警告 (例: ピンセットの失敗) なしで google.com に接続できるのはなぜですか?
ブラウザは、CAが明示的に信頼できるものとして追加された場合、つまりデフォルトのCAストアからのものではないが信頼できる場合、ピン留めを無視します。これは、信頼できるSSL インターセプションは、企業環境だけでなく、さまざまなローカルウイルス対策製品でも採用されています。
証明書の透明性によってこの問題は解決されますか?