può il blocco dei certificati HPKP disabilitare l'ispezione DPI sul firewall?

3

È possibile che Firefox e Chrome disabilitino la convalida dei pin per gli utenti che hanno importato certificati root personalizzati tutte le violazioni di blocco vengono ignorate. Qual è l'impatto di questo? Il browser segnala eventuali avvisi?

    
posta user3654268 28.09.2017 - 07:41
fonte

1 risposta

2

can HPKP certificate pinning disable DPI inspection on firewall?

No, HPKP non ha alcun effetto automatico sul firewall e come funziona DPI.

Is it possible that Firefox and Chrome disable pin validation for users who imported custom root certificates all pinning violations are ignored.

Questo non è solo possibile, ma in realtà è così. Il blocco sarà disabilitato se il certificato è firmato da una CA che è stata importata esplicitamente come attendibile. Ciò è esplicitamente fatto per rendere l'intercettazione legale SSL come eseguita nei firewall, ma anche i prodotti antivirus per desktop.

What is impact of that? Will browser report any warning?

L'impatto di questo è che l'intercettazione SSL è possibile anche se si utilizza il blocco dei certificati. I browser non mostreranno alcun avviso. Gli utenti possono rilevare l'intercettazione osservando i dettagli del certificato. E vedranno che i siti che di solito hanno certificati EV (ad esempio la barra degli URL verdi) non avranno più un certificato EV. A parte questo, non si vede alcuna differenza.

Le intercettazioni SSL naturalmente hanno vari impatti. Molti di questi non sono specifici per HPKP, quindi non ne parlerò qui. Ma c'è un impatto specifico su HPKP: la maggior parte delle soluzioni di intercettazione SSL non controllano se le informazioni di pinning nell'intestazione HPKP corrispondono al certificato che hanno appena ricevuto e inoltre non salvano le informazioni HPKP come il browser e controllano se ottengono il certificato previsto dopo. Ciò significa che l'HPKP viene essenzialmente ignorato in caso di intercettazione SSL, sia dal prodotto di intercettazione SSL che dal browser dietro di esso.

    
risposta data 28.09.2017 - 08:24
fonte

Leggi altre domande sui tag