Estoy usando Chrome en un entorno que emplea inspección TLS transparente. Hay una CA privada que emite los certificados y está disponible en el almacén de autoridades de confianza. Cuando visito mail.google.com no recibo ninguna advertencia. Esperaría recibir una advertencia ya que el emisor del certificado no coincide con el conjunto de pines estáticos (https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json).
¿Por qué puedo conectarme a google.com sin previo aviso (por ejemplo, fallo del conjunto de pines)? Esto me preocupa porque hay multitud de CA, cualquiera de las cuales puede emitir un certificado para, por ejemplo, google.com.
¿La transparencia del certificado soluciona este problema?
Respuesta1
¿Por qué puedo conectarme a google.com sin previo aviso (por ejemplo, fallo del conjunto de pines)?
Porque los navegadores ignoran la fijación si la CA se agrega explícitamente como confiable, es decir, no es una del almacén de CA predeterminado pero aún es confiable. Esto se hace para trabajar junto conconfiableIntercepción SSL, como se hace no sólo en entornos corporativos sino que también es empleada por varios productos antivirus locales.
¿La transparencia del certificado soluciona este problema?
No. Ver también¿Qué tan efectivo es Expect-CT contra la inspección de contenido en un contexto empresarial?