Ist es möglich, die Zertifikatstransparenz (Prüfung des Überwachungsprotokolls) von Zertifikaten in Chrome zu deaktivieren?

7

Wir verwenden die HTTPS-Deep-Packet-Inspektion in unserer Firewall über ein vertrauenswürdiges Stammzertifikat im Windows-Zertifikatspeicher. Chrome hat kürzlich eine Funktion zur Durchführung zusätzlicher Überprüfungen der Zertifikatsausstellung mit dem Namen "Zertifikatstransparenz" eingeführt, bei der jedes verwendete Zertifikat (das nach einem bestimmten Datum ausgestellt wurde) mit einer bekanntermaßen guten Liste von Zertifizierungsstellen verglichen wird.

Die Verwendung der HTTPS-Deep-Packet-Inspektion (auch bekannt als HTTPS-Proxy / Offloading / MiTM) führt nun zu einem Fehler in Chrome gemäß diesem Beispiel .

Ist es möglich, die einzige Funktion der Überwachungsprotokollprüfung in Chrome zu deaktivieren?

Update als Antwort auf Wombles Antwort .

Dieses Update ist falsch. Wombles Antwort ist richtig, siehe unten.

Das habe ich ursprünglich gedacht, aber es ist eindeutig nicht so.

Hier sind Screenshots von übermäßig rechtschaffenem Chrome:

Kein MiTM:

kein mitm

MiTM:

mitm

Es scheint, dass dies in direktem Zusammenhang mit der Überprüfung der Zertifikatstransparenz / des Überwachungsprotokolls steht und nicht mit der Verwendung von SHA-1 und der bevorstehenden Abschreibung in Nanny Chrome . Beachten Sie, dass unser internes CA-Zertifikat nach 2017 abläuft.

Update 2, Womble ist richtig:

Dank der Antwort von womble habe ich den Hinweis des Chrome-Teams erneut überprüft und festgestellt, dass auf jeder Website mit einem Zertifikat mit Ablauf 2017+, das SHA-1 verwendet, die Warnung "positiv unsicher" angezeigt wird (das durchgestrichene rote Schlosssymbol).

Um zu beweisen, dass mein MiTM / Proxy der Schuldige ist, habe ich eine Salesforce-Test-Site verwendet (über das Ducken eines KB-Artikels ).

Kein MiTM:

Geben Sie hier die Bildbeschreibung ein

MiTM:

Geben Sie hier die Bildbeschreibung ein

 *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.

Mein Proxy / MiTM stuft das Algo von SHA-256 auf SHA-1 herab. TSK tsk! Chrome verhält sich gemäß der Mitteilung genau wie beabsichtigt, und ich glaube nicht, dass meine Nutzer "positiv unsichere" Benachrichtigungen erhalten, sobald ich dieses Problem mit dem MiTM / Proxy behoben habe.

Vielen Dank!

Update 3: Denken Sie daran, Firmware-Updates / Versionshinweise zu überprüfen ... SHA-256 wird jetzt unterstützt. Update für Freitag geplant. Sollte in Ordnung sein.

mbrownnyc
quelle
3
Ich glaube nicht, dass Sie es deaktivieren können, aber Sie können einen benutzerdefinierten Protokollschlüssel mit dem Flag --certificate-transparent-log angeben . --ignore-zertifikatsfehler ist keine Option, da dadurch alle Sicherheitsüberprüfungen für Zertifikate deaktiviert werden, nicht nur für CT.
Léo Lam
Auch hier haben Sie Recht. Dies ist, was ich gelesen habe, aber es sagte nichts über das Erstellen des affirmatively insecureHinweises. Ich muss prüfen, ob der secure, but with minor errorsHinweis angezeigt wird. Vielen Dank!
mbrownnyc

Antworten:

6

Angenommen, das Beispiel, auf das Sie verweisen, bezieht sich tatsächlich auf "Die Site verwendet veraltete Sicherheitseinstellungen" und nicht auf "Keine öffentlichen Überwachungsaufzeichnungen". Etwa 99,99% sind sich aus mehreren Gründen sicher, dass Ihr Problem kein CT ist ::

  • Nach meinem Verständnis unterliegen nur CA-Zertifikate im System Trust Store einer CT-Validierung. Lokal verwaltete CA-Zertifikate erfordern keine CT-Behandlung (aus genau dem Grund, den Sie haben).
  • Die fehlgeschlagene CT-Validierung ist derzeit nur für EV-Zertifikate von Bedeutung. Die einzige negative Auswirkung besteht darin, dass das Zertifikat die EV-Behandlung mit dem grünen Balken verliert.

Der Fehler "Veraltete Sicherheitseinstellungen verwenden" bedeutet tatsächlich, dass Ihr MitM-Proxy SHA-1-basierte Zertifikate mit Ablaufdaten in ferner Zukunft ausstellt, was wahrscheinlich keine so erfolgreiche Idee ist.

womble
quelle
Dies ist ursprünglich das, was ich dachte, aber da dieser Beitrag komplementär ist und nicht durch den verlinkten Thread beantwortet wird, ist er nicht die Ursache. Ich habe die ursprüngliche Frage aktualisiert und Screenshots bereitgestellt. Es ist eine UX-Sache, auf die ich mich konzentriere ... Es ist schwierig, unserem Rechtsteam die Feinheiten der Verschlüsselung in Chrome zu erklären, wenn der GC diesen Fehler auf seiner Belkin-GPS-Site erhält (nur ein kleines Beispiel). Zugegeben, Firefox verfügt über einen eigenen Zertifizierungsspeicher. Diese Art von Problem wird vermieden, indem die Zertifizierungsstelle zum vertrauenswürdigen Zertifizierungsstellenspeicher hinzugefügt wird. Chrome verlässt sich auf den Windows Cert Store ... anscheinend kaum.
mbrownnyc
womble: Bitte bearbeiten Sie Ihre Antwort, damit ich Sie erneut bewerten kann. Mein Fehler, Sie sind absolut richtig.
mbrownnyc
Das erinnert mich an diese Antwort … Die Chrome-Nachricht ist wahrscheinlich etwas zu verwirrend!
Léo Lam