为托管浏览器禁用HSTS

Modified on: Mon, 22 Jul 2019 20:40:02 +0800

对于新网站和浏览器中出现的网站,我有哪些选项可以禁用HSTS?

使用HTTPS检查通过扮演中间人的角色来固有地改变网站的指纹;访问之前访问过的网站而不进行HTTPS检查或其中一个预加载的网站将导致无法访问的网站。有什么选择 - 如果有的话 - 我还有其他选择吗?

以下是使用HTTPS检查Chrome中的Gmail示例:


背景强>

我正在设置新的防火墙,我正在尝试清理我的HTTPS检查规则。我确实希望避免将网站添加到可能包含用户贡献内容的列表中,例如mail.google.com / gmail.com。

自从我上次这样做以来HSTS / HTTP严格传输安全已经变得很多更普遍。

注意 - 我试图保持这种通用性,因为这可能是许多不同设置的问题。我希望有一个适用于任何防火墙产品的跨操作系统/跨浏览器方法,但这有点问题。使用Windows(7+)关注(IE,Chrome,Firefox)将是一个很好的开始。以组策略为中心的方法也非常有用。

最佳答案

你在这里混淆了一些不同的东西,我怀疑它会导致你得出一些错误的结论。

  • HSTS(“HTTP严格传输安全性”)是(仅!)关于强制HTTPS用于指定站点的连接。它没有强制使用哪些密钥,证书等来验证连接。
  • 公钥固定指定,如果建立了与给定名称的HTTPS连接,则证书链必须包含给定的公钥列表白名单之一,否则该连接将被视为无效。

由于HTTPS检查(不幸的是)是一种广泛部署的做法,因此浏览器的一般做法是以本地安装的根CA证书结尾的证书链免于公钥锁定检查。我在Chrome的行为中找到了来自Chrome的Adam Langley的声明( “MITM代理,Fiddler等怎么样?”),但我的经验与其他浏览器类似。

我相当确信您的屏幕截图中显示的问题不是浏览器挂在引脚上,而是它无法将证书识别为链接到可信CA证书。这将触发HSTS失败,因为“使用HTTPS”更准确地指定为“使用包含安全密码的正确安全HTTPS和用于身份验证的可信证书”。我建议仔细检查MitM代理的根CA证书是否已正确安装并被正在使用的浏览器识别为有效。

作者:womble

相关问答

添加新评论