투명한 TLS 검사를 사용하는 환경에서 크롬을 사용하고 있습니다. 인증서를 발급하는 사설 CA가 있으며 신뢰할 수 있는 기관 저장소에서 사용할 수 있습니다. mail.google.com을 방문하면 경고가 표시되지 않습니다. 인증서 발급자가 정적 핀 세트(https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json).
경고(예: 핀셋 오류) 없이 google.com에 연결할 수 있는 이유는 무엇인가요? google.com과 같은 인증서를 발급할 수 있는 CA가 많기 때문에 이는 저에게 우려되는 일입니다.
인증서 투명성으로 이 문제가 해결됩니까?
답변1
경고(예: 핀셋 오류) 없이 google.com에 연결할 수 있는 이유는 무엇인가요?
CA가 명시적으로 신뢰할 수 있는 CA로 추가된 CA인 경우(즉, 기본 CA 저장소의 CA가 아니지만 여전히 신뢰할 수 있는 CA인 경우) 브라우저는 고정을 무시하기 때문입니다. 이는 다음과 함께 작업하기 위해 수행됩니다.신뢰할 수 있는기업 환경뿐만 아니라 다양한 로컬 바이러스 백신 제품에서도 사용되는 SSL 차단입니다.
인증서 투명성으로 이 문제가 해결됩니까?
아니요. 다음 항목도 참조하세요.기업 환경에서 콘텐츠 검사에 대해 Expect-CT가 얼마나 효과적인가요?