Comments 15
Почему на хабре так стала популярна тема соглядатыев?
+2
Хабр — большой, и, следовательно, в некотором смысле является зеркалом общества =) Несомненно, попытки влезть в ваш TLS с помощью sslstrip, корпоративного брендмауэра, BDFProxy или великого китайского ( или не очень китайского =)) — являются реальностью. Полагаю, это нужно знать, уметь обнаруживать, использовать ну и вообще жить с этим %)
0
Не могу не оставить это тут:
https://www.opennet.ru/opennews/art.shtml?num=45996
+2
что обновленная версия google chrome также начала использовать технологию certificate pinning для своих сервисов (youtube, google drive, gmail и так далее)
Вы где-то ошиблись в настройке: привязка отключается при подмене сертификата внутренним доверенным CA, а от HPKP вообще решили отказаться.
0
К сожалению не ошибся. Вот похожая статья — www.sonicwall.com/en-us/support/knowledge-base/170505511410631
+1
У Adguard всё настроено правильно и там перехват работает:
0
adguard тут не причем, просто версия вашего google chrome не использует Cetificate Pinning. Если посмотрите в видео, то там тоже гугл заработал с подменой сертификата. В последнем обновлении Chrome тоже не обнаружил этой фичи. Видимо экспериментируют пока в Google с данной технологией.
0
Видимо вы не разбираетесь в том о чём пишете.
HPKP сделана для защиты от несанкционированного выпуска сертификатов публичными CA и привязка там идёт не к серийному номеру, а к цепочке CA для FQDN или публичному ключу. Она работает одинаково в Chrome и FF с появления в 2014-2015 году.
В Chrome 61 добавили Expect-CT, но и там проверка выключается для сертификатов выданных приватными CA.
HPKP сделана для защиты от несанкционированного выпуска сертификатов публичными CA и привязка там идёт не к серийному номеру, а к цепочке CA для FQDN или публичному ключу. Она работает одинаково в Chrome и FF с появления в 2014-2015 году.
В Chrome 61 добавили Expect-CT, но и там проверка выключается для сертификатов выданных приватными CA.
0
Видимо вы не понимаете что такое certificate pinning.
«If the serial number of the certificate used to create the HTTPS connection back to Google does not match the „pinned“ certificate serial number, the connection is rejected. „
«If the serial number of the certificate used to create the HTTPS connection back to Google does not match the „pinned“ certificate serial number, the connection is rejected. „
-1
Целесообразно отключать инспекцию TLS еще и для ряда относительно доверенных URL-ов, таких как цетры загрузки обновлений микрософтовских и других операционных систем, и т.д. Иначе ресурсы даже весьма жирного чекпоинта исчерпываются =)
+1
Sign up to leave a comment.
2.Check Point на максимум. HTTPS-инспекция