Я использую Chrome в среде, которая использует прозрачную проверку TLS. Существует частный CA, который выпускает сертификаты и доступен в хранилище доверенных центров. Когда я захожу на mail.google.com, я не получаю предупреждения. Я ожидал получить предупреждение, так как издатель сертификата не соответствует статическому набору пин-кодов (https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json).
Почему я могу подключиться к google.com без предупреждения (например, сбой набора пин-кодов)? Это беспокоит меня, поскольку существует множество CA, любой из которых может потенциально выдать сертификат, скажем, для google.com.
Решит ли эту проблему прозрачность сертификатов?
решение1
Почему я могу подключиться к google.com без предупреждения (например, сбоя набора пин-кодов)?
Потому что браузеры игнорируют закрепление, если CA явно добавлен как доверенный, т.е. не из хранилища CA по умолчанию, но все еще доверенный. Это делается для совместной работы сдоверенныйПерехват SSL, который осуществляется не только в корпоративной среде, но и используется различными локальными антивирусными продуктами.
Решит ли эту проблему прозрачность сертификатов?
Нет. Смотрите такжеНасколько эффективен Expect-CT при проверке контента в корпоративном контексте?