Ich verwende Chrome in einer Umgebung, in der transparente TLS-Prüfungen verwendet werden. Es gibt eine private Zertifizierungsstelle, die die Zertifikate ausstellt und im Store der vertrauenswürdigen Stellen verfügbar ist. Wenn ich mail.google.com besuche, erhalte ich keine Warnung. Ich würde eine Warnung erwarten, da der Zertifikatsaussteller nicht mit dem statischen Pinset übereinstimmt (https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json).
Warum kann ich mich ohne Warnung (z. B. Pinset-Fehler) mit google.com verbinden? Das bereitet mir Sorgen, da es eine Vielzahl von Zertifizierungsstellen gibt, von denen jede potenziell ein Zertifikat für beispielsweise google.com ausstellen kann.
Behebt die Zertifikatstransparenz dieses Problem?
Antwort1
Warum kann ich ohne Warnung (z. B. Pinset-Fehler) eine Verbindung zu google.com herstellen?
Weil Browser das Pinning ignorieren, wenn die CA explizit als vertrauenswürdig hinzugefügt wurde, also nicht aus dem Standard-CA-Speicher stammt, aber dennoch vertrauenswürdig ist. Dies geschieht, um mitVertrauenswürdigeSSL-Interception, wie sie nicht nur in Unternehmensumgebungen praktiziert wird, sondern auch von verschiedenen lokalen Antivirenprodukten eingesetzt wird.
Behebt die Zertifikatstransparenz dieses Problem?
Nein. Siehe auchWie effektiv ist Expect-CT bei der Inhaltsprüfung im Unternehmenskontext?