我在採用透明 TLS 檢查的環境中使用 Chrome。有一個私有 CA 負責頒發證書,並且可在受信任的頒發機構儲存中使用。當我造訪 mail.google.com 時,我沒有收到警告。我希望收到警告,因為憑證頒發者與靜態引腳集不符(https://github.com/chromium/chromium/blob/master/net/http/transport_security_state_static.json)。
為什麼我可以在沒有警告的情況下連接到 google.com(例如 pinset 故障)?這讓我感到擔憂,因為有很多 CA,其中任何一個都可能會為 google.com 等頒發證書。
證書透明度可以解決這個問題嗎?
答案1
為什麼我可以在沒有警告的情況下連接到 google.com(例如 pinset 故障)?
因為如果 CA 是明確添加為受信任的 CA,即不是來自預設 CA 儲存但仍受信任的 CA,則瀏覽器會忽略固定。這樣做是為了與值得信賴的SSL 攔截不僅在企業環境中進行,而且還被各種本地防毒產品採用。
證書透明度可以解決這個問題嗎?