सवाल क्रोम में प्रमाण पत्र की प्रमाणपत्र पारदर्शिता (ऑडिट लॉग जांच) अक्षम करना संभव है?


हम विंडोज फ़ायरफ़ॉक्स स्टोर में एक विश्वसनीय रूट प्रमाणपत्र के माध्यम से हमारे फ़ायरवॉल में HTTPS गहरे पैकेट निरीक्षण का उपयोग करते हैं। क्रोम ने हाल ही में सर्टिफिकेट पारदर्शिता नामक सर्टिफिकेट जारी करने पर अतिरिक्त चेक करने के लिए एक फीचर के साथ आगे बढ़ाया, जहां सीए की ज्ञात अच्छी सूची के खिलाफ इस्तेमाल किए गए प्रत्येक प्रमाण पत्र (जिसे किसी निश्चित तारीख के बाद जारी किया गया था) की जांच की जाती है।

एचटीटीपीएस गहरे पैकेट निरीक्षण (उर्फ एचटीटीपीएस प्रॉक्सीइंग / ऑफलोडिंग / एमआईटीएम) का उपयोग अब क्रोम को त्रुटि के कारण बनाता है यह उदाहरण

क्रोम में ऑडिट लॉग जांच की एकमात्र विशेषता को अक्षम करना संभव है?

प्रतिक्रिया में अद्यतन करें गर्भ का जवाब

यह अद्यतन गलत है। Womble का जवाब सही है, नीचे देखें।

यही वह है जिसे मैंने मूल रूप से सोचा था, लेकिन यह स्पष्ट रूप से नहीं है।

यहां अत्यधिक धार्मिक क्रोम के स्क्रीनशॉट हैं:

कोई एमआईटीएम नहीं:

no mitm

MITM:

mitm

ऐसा लगता है कि यह सीधे प्रमाण पारदर्शिता / लेखापरीक्षा लॉग जांच से संबंधित है और SHA-1 का उपयोग नहीं करता है नानी क्रोम में आगामी मूल्यह्रास। यह ध्यान देने योग्य है कि हमारा आंतरिक सीए प्रमाण 2017 के बाद समाप्त हो जाता है।

अद्यतन 2, गर्भ सही है:

गर्भ के जवाब के लिए धन्यवाद, मैंने फिर से समीक्षा की क्रोम टीम से नोटिस, और एसएचए -1 का उपयोग करने वाली समाप्ति 2017+ के साथ किसी प्रमाण पत्र के साथ किसी भी साइट को "सकारात्मक रूप से असुरक्षित" चेतावनी (क्रॉस आउट लाल लॉक आइकन) प्राप्त होगा।

मेरे एमआईटीएम / प्रॉक्सी अपराधी को साबित करने के लिए, मैंने उपयोग किया एक बिक्री बल परीक्षण साइट (डकिंग के माध्यम से स्थित है एक केबी लेख)

कोई एमआईटीएम नहीं:

enter image description here

MITM:

enter image description here

 *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.

मेरा प्रॉक्सी / एमआईटीएम एसएचए -256 से एसएचए -1 तक अलगो डाउनग्रेड कर रहा है। टस्क टस्क! क्रोम नोटिस के अनुसार बिल्कुल सही कार्य कर रहा है, और मुझे विश्वास नहीं है कि एक बार जब मैं इस समस्या को एमआईटीएम / प्रॉक्सी के साथ हल करता हूं तो मेरे उपयोगकर्ता की "सकारात्मक रूप से असुरक्षित" अधिसूचनाएं प्राप्त होंगी।

धन्यवाद!

अद्यतन 3: फर्मवेयर अपडेट / रिलीज नोट्स को जांचना याद रखें ... SHA-256 अब समर्थित है। शुक्रवार को अद्यतन अद्यतन। ठीक होना चाहिए।


7
2018-06-26 18:06


मूल


मैं नही सोच आप इसे अक्षम कर सकते हैं, लेकिन आप कर सकते हैं - प्रमाणपत्र-पारदर्शिता-लॉग ध्वज के साथ एक कस्टम लॉग कुंजी निर्दिष्ट करें। --ignore- प्रमाणपत्र-त्रुटियां है नहीं एक विकल्प क्योंकि यह केवल सीटी नहीं, प्रमाण पत्र के लिए किसी भी सुरक्षा जांच को अक्षम कर देगा। - Léo Lam
आप यहां भी सही हैं। यही वह है जो मैं पढ़ रहा था, लेकिन यह बनाने के बारे में कुछ भी नहीं कहा affirmatively insecure नोटिस। मुझे यह जांचना होगा कि क्या यह उत्पादन करेगा या नहीं secure, but with minor errors नोटिस। धन्यवाद! - mbrownnyc


जवाब:


यह मानते हुए कि आप जिस उदाहरण को इंगित कर रहे हैं वह वास्तव में "पुरानी सुरक्षा सेटिंग्स का उपयोग कर रहा है", और "सार्वजनिक लेखापरीक्षा रिकॉर्ड नहीं है" के बारे में एक है, लगभग 99.99% सुनिश्चित करें कि आपकी समस्या सीटी नहीं है, कई कारणों से :

  • यह मेरी समझ है कि सिस्टम ट्रस्ट स्टोर में केवल सीए प्रमाण पत्र सीटी सत्यापन के अधीन हैं; स्थानीय रूप से प्रबंधित सीए प्रमाणपत्रों को सीटी उपचार की आवश्यकता नहीं होती है (आपको जो कारण मिल गया है, उतना ही काफी है)।
  • विफल सीटी सत्यापन केवल वर्तमान समय में ईवी प्रमाणपत्रों के लिए महत्वपूर्ण है, और केवल नकारात्मक प्रभाव यह है कि प्रमाणपत्र ईवी "ग्रीन बार" उपचार खो देता है।

"पुरानी सुरक्षा सेटिंग्स का उपयोग करने" के बारे में त्रुटि का अर्थ वास्तव में है कि आपकी मिटएम प्रॉक्सी दूर भविष्य में समाप्ति तिथियों के साथ SHA-1-आधारित प्रमाणपत्र जारी कर रही है, जो शायद ऐसा विजेता विचार नहीं है।


5
2017-07-07 11:46



यह मूल रूप से मैंने सोचा था, लेकिन जैसा कि यह पोस्ट पूरक है और धागे से जुड़े हुए द्वारा उत्तर नहीं दिया गया है, यह कारण नहीं है। मैंने स्क्रीनशॉट प्रदान करते हुए मूल प्रश्न अपडेट किया है। यह एक यूएक्स चीज है जिस पर मैं ध्यान केंद्रित कर रहा हूं ... हमारी कानूनी टीम को क्रोम में एन्क्रिप्शन उपयोग की जटिलताओं को समझाना मुश्किल है जब जीसी को अपनी बेल्किन जीपीएस साइट (केवल मामूली उदाहरण) पर यह त्रुटि मिलती है। अनुमोदित फ़ायरफ़ॉक्स में इसका स्वयं का प्रमाणपत्र स्टोर है, इस प्रकार की समस्या विश्वसनीय सीए स्टोर में सीए जोड़कर टाल जाती है। क्रोम विंडोज प्रमाण स्टोर पर निर्भर करता है ... स्पष्ट रूप से मुश्किल से। - mbrownnyc
गर्भ: कृपया अपना उत्तर संपादित करें ताकि मैं आपको फिर से उठा सकूं। मेरी गलती, आप बिल्कुल सही हैं। - mbrownnyc
यह मुझे याद दिलाता है यह जवाब... क्रोम संदेश शायद थोड़ा उलझन में है! - Léo Lam