Каковы мои опции для отключения HSTS и для новых сайтов и для тех сайтов, испеченных в браузер?
Использование контроля HTTPS по сути изменяет след большого пальца сайта путем действия как человек в середине; посещение сайта, который ранее посещают без контроля HTTPS или одного из предварительно загруженных сайтов, приведет к недоступному сайту. Какие опции - если кто-либо - у меня есть другой затем отключающий контроль?
Вот пример, Gmail в Chrome с контролем HTTPS:
Фон
Я настраиваю новый брандмауэр, и я пытаюсь убрать свои правила контроля HTTPS. Я действительно не хочу добавлять сайты к списку, который может иметь внесенное содержание пользователя, такое как mail.google.com / gmail.com.
С тех пор в прошлый раз, когда я сделал этот HSTS / HTTP, Строгая Транспортная безопасность стала намного более распространенной.
Отметьте - я пытался сохранить этот дженерик, так как это могло быть проблемой для большого количества различных установок. Я надеюсь на перекрестную ОС / перекрестный метод браузера, который был бы применим к любому продукту брандмауэра, но это спрашивает слишком. Вниманием на (IE, Chrome, Firefox) использующий Windows (7 +) был бы большой запуск. Методы, центрируемые на Групповой политике, также были бы очень полезны.
Здесь вы сочетаете несколько различных вещей, и я подозреваю, что это приводит вас к ложным выводам.
Поскольку HTTPS осмотр (к сожалению) является широко распространенной практикой, общая практика браузеров заключается в том, что цепочки сертификатов, которые заканчиваются локально установленным корневым сертификатом CA, освобождаются от проверки пиннинга открытых ключей. Я нашел утверждение Адама Лэнгли (Adam Langley) из Chrome о поведении Chrome (раздел "Как насчет MITM-прокси, Fiddler и т.д."), но мой опыт аналогичен для других браузеров.
Я вполне уверен, что проблема, указанная на скриншоте, заключается не в том, что браузер зависает на булавке, а в том, что он вообще не распознает сертификат как цепочки сертификатов доверенного ЦС. Это вызовет сбой HSTS, поскольку "использование HTTPS" более правильно указано как "использование должным образом защищенного HTTPS, включая безопасные шифры и доверенный сертификат для аутентификации". Я бы предложил перепроверить, что сертификат корневого ЦС MitM proxy установлен корректно и распознан как действительный используемым браузером (браузерами)
.