我们通过 Windows 证书存储中的受信任根证书在防火墙中使用 HTTPS 深度数据包检查。Chrome 最近推出了一项功能,用于对证书颁发执行额外检查,称为证书透明度,其中使用的每个证书(在特定日期之后颁发)都会根据已知良好的 CA 列表进行检查。
现在,使用 HTTPS 深度数据包检测(又名 HTTPS 代理/卸载/MiTM)会导致 Chrome 出现此示例中的错误。
是否可以在 Chrome 中禁用审核日志检查的唯一功能?
更新以响应womble 的回答。
这个更新是错误的。Womble 的回答是正确的,见下文。
这是我最初的想法,但显然不是。
下面是太正经的Chrome截图:
没有中间人:
中间人:
它似乎与证书透明度/审计日志检查直接相关,而不是与 SHA-1 的使用和即将在 Nanny Chrome 中的折旧相关。值得注意的是,我们的内部 CA 证书确实在 2017 年之后到期。
更新 2,womble 是对的:
感谢 womble 的回答,我重新查看了 Chrome 团队的通知,并注意到任何具有 2017+ 到期证书且使用 SHA-1 的站点都会收到“肯定不安全”警告(划掉的红色锁图标)。
为了证明我的 MiTM/proxy 是罪魁祸首,我使用了一个 salesforce 测试站点(通过避开KB 文章定位)
没有中间人:
中间人:
*note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.
我的代理/MiTM 正在将算法从 SHA-256 降级到 SHA-1。啧啧!Chrome 完全按照通知的预期行事,我不相信一旦我使用 MiTM/代理解决了这个问题,我的用户将不会收到“肯定不安全”的通知。
谢谢!
更新 3: 记得检查固件更新/发行说明...现在支持 SHA-256。更新定于周五。应该没问题。
假设您指向的示例实际上是关于“该站点使用过时的安全设置”而不是“没有公共审计记录”的示例,大约 99.99% 的人确定您的问题不是 CT,原因有几个:
关于“使用过时的安全设置”的错误实际上意味着您的 MitM 代理正在颁发基于 SHA-1 的证书,其到期日期在很远的将来,这可能不是一个成功的想法。