Cum se adaugă o excepție de certificat de server la Chrome/Edge?

jacob_w

21.03.2023, 22:27

Este posibil să adăugați excepții de certificat de server pentru unele site-uri web (pentru a sări peste pagina de avertisment despre certificatele care sunt expirate, autosemnate sau cu CN/SAN-uri lipsă sau nepotrivite) în Google Chrome / MS Edge pentru toți utilizatorii (în orice mod scriptabil, dar de preferință folosind politici/registru)?

În Mozilla Firefox, folosesc Autoconfig, care este suficient de bun fără politică de utilizat. Există o alternativă la Autoconfig în Chrome/Edge?

520

0 + 0

firewall

google-chrome

Politica de grup

erori-certificat-ssl

microsoft-edge

Puncte:1

Server

Conure

21.03.2023, 23:26

Puteți adăuga certificatele autosemnate ca Trusted Roots pe mașinile țintă pe care doriți să evitați erorile de certificat. Acest lucru se poate face folosind GPO în Setări de securitate\Politici cheie publice\Autorități de certificare rădăcină de încredere.

În configurația implicită, IE, vechiul și nou Edge și Chrome (și alte browsere Chromium) vor respecta toate încrederea certificatelor de sistem.

Îmi pun pălăria de securitate: Să ai încredere în certificatele individuale autosemnate nu este o idee super grozavă, deoarece cheia privată a certificatului este singurul lucru necesar pentru a începe falsificarea traficului către site-ul web. Ar trebui să luați în considerare implementarea autorităților de certificare interne, ale căror rădăcini/intermediari apoi aveți încredere prin AD și implementarea certificatelor din acestea. Înscrierea la certificat este foarte scriptabilă!

0 + 0

jacob_w

22.03.2023, 18:23

Aș adăuga că, dacă cheia privată este scursă, un fel de certificat pare mai puțin important. Oricum, implementez certificate rădăcină la punctele finale (dacă nu GPO, atunci certutil/certmgr) - funcționează grozav atunci când certificatele au atribute cerute de browser și sunt semnate de root/intermediar așa cum ai scris tu. Din păcate, certificatele în cauză: 1) sunt în afara controlului meu (adăugarea excepției este singura modalitate de a scăpa de avertisment); 2) nu sunt doar autosemnate. Dacă adăugați lipsa de SAN la amestec - a avea încredere în certificat nu contează pentru Chrome (IE este puțin mai de încredere).

Răspunde

Conure

22.03.2023, 19:57

Adevărat, doar că un CA central este mai ușor de gestionat revocarea certificatului și ciclul de viață al certificatului, dar corect, nu este masiv mai puțin sigur. Cu toate acestea, certificatul nu are un SAN, acum asta e o mare problemă. Nu știu o modalitate de a ocoli asta cu Chrome. Îmi pare rău. :-(

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How to add server certificate exception to Chrome/Edge?

TH: จะเพิ่มข้อยกเว้นใบรับรองเซิร์ฟเวอร์ให้กับ Chrome/Edge ได้อย่างไร

RO: Cum se adaugă o excepție de certificat de server la Chrome/Edge?

RU: Как добавить исключение сертификата сервера в Chrome/Edge?

VI: Làm cách nào để thêm ngoại lệ chứng chỉ máy chủ vào Chrome/Edge?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.