为受pipe浏览器禁用HSTS
对于新网站和浏览器中的那些网站禁用HSTS,我有什么select?
HTTPS检查的使用本质上改变了一个网站的指纹,作为一个中间人; 访问以前访问的网站,而无需HTTPS检查或预先加载的网站之一将导致无法访问的网站。 有什么select – 如果有的话 – 我有其他禁用检查吗?
以下是一个示例,Chrome中带有HTTPS检查的Gmail:
- 在Chrome中是否可以禁用证书透明(证书审查)证书?
- 试图蛮横攻击活动目录用户(按字母顺序)的病毒?
- 在ControlMaster SSH会话上以编程方式添加端口转发
- 用户无法通过OWA for Exchange 2010更改密码
- networkingauthentication+漫游主目录 – 我应该使用哪种技术?
背景
我正在设置一个新的防火墙,并且正在尝试清理我的HTTPS检查规则。 我真的想要避免将网站添加到可能包含用户贡献内容的列表,例如mail.google.com / gmail.com。
自从上一次我做这个HSTS / HTTP严格的传输安全已经变得更加普遍。
注 – 我试图保持这种通用,因为这可能是一个问题,很多不同的设置。 我希望能够适用于任何防火墙产品的跨OS /跨浏览器方法,但这是多less要求。 使用Windows(7+)的重点(IE,Chrome,Firefox)将是一个很好的开始。 以组策略为中心的方法也是非常有用的。
你在这里混淆了一些不同的东西,我怀疑这会导致你得到一些错误的结论。
- HSTS(“HTTP严格传输安全性”)(仅限于)强制要求使用HTTPS连接到指定的站点。 它没有强制执行任何关于哪个密钥,证书等用于authentication连接。
- 公钥固定指定,如果HTTPS连接已build立为给定名称,则证书链必须包含给定白名单中的一个公钥,否则该连接将被视为无效。
由于HTTPS检查(不幸)是一种广泛部署的做法,因此浏览器中的一般做法是以本地安装的根CA证书结尾的证书链免于公用密钥locking检查。 我发现了Chrome的Adam Langley关于Chrome浏览器行为的一个声明 (关于MITM代理,Fiddler等?),但是我的经验与其他浏览器类似。
我相当确信你的屏幕截图中显示的问题并不是浏览器挂在一个引脚上,而是它根本无法将证书识别为链接到可信的CA证书。 这将触发HSTS失败,因为“使用HTTPS”更正确地指定为“使用包括安全密码和可信证书进行身份validation的正确安全的HTTPS”。 我build议仔细检查MitM代理的根CA证书是否正确安装,并且被使用的浏览器识别为有效。