Comments 14
Да с этим Гугл Хромом вечно какие-то проблемы. Вот в начале марта выложили версию, которая принципиально использовала только TLSv1. Из-за этого часть корпоративных сайтов не открывалась. (Возможно и внешние, но их мы не проверяли.)
Но бывают исключительные ситуации, когда установка MiTM-прокси реально необходима.
Кому необходима? Гуглю? Не решайте за него! /sarcasm off
Абсолютно весь бизнес не желает чтобы его трафик анализировался, большинство современного бизнеса скрывает и запутывает свои данные от своих клиентов с целью увеличить сборы с них (т.е. направлено против), но это не повод жаловаться что какой то другой бизнес с теми же целями не может получить доступ к этим данным.
p.s. я бы лучше сетовал что новая технология выставляет гугл как новый централизованный центр сертификации (ведь он единолично будет решать, попадать ли очередному сертификату в список или нет), как минимум в такой реализации стандарт не должен становиться мейнстримом
Но, почему-то, вместо добавления настроек позволяющих увеличить или уменьшить безопасность, это включается дефолтом для всех, без возможности выключить.
Возможно потому что если есть возможность выключить — то любители обязательных госсертификатов/корпоративных сертификатов начнут объяснять подчиненным/гражданам что нужно выключить?
А способ из статьи сделать не заставишь, особенно потому что рут нужен.
А какая разница?
Почему мне отказывают в праве поддаться на убеждения любителей госсертификатов? В этом же сама суть свободы, возможность выбирать? А тут явным образом лишают самой возможности выбора.
Не помню кто писал (кажется в какой-то связи с Вольтером) "Я не согласен ни с одним словом, которое вы говорите, но готов умереть за ваше право это говорить". Очень жаль что современный борцы за свободы считают правильным исключительно свое понимание этой свободы.
вы хотите чтобы ваши личные сертификаты стали публичными (попали в публичный лог) и подменяли чужой сертификат не только у вас но и у всех?
Можете развернуть мысль? Просто сертификаты как бы построены на асимметричной криптографии и в лог, насколько я знаю, попадает только открытая часть (та самая, которую ваш веб-сервер отправит любому желающим, кто обратиться), более того, закрытой при желании можно не делиться даже с центром сертификации (центр сертификации способен заверить ваш сертификат не имея приватного ключа к нему).
Абсолютно весь бизнес не желает чтобы его трафик анализировался, большинство современного бизнеса скрывает и запутывает свои данные от своих клиентов с целью увеличить сборы с них (т.е. направлено против), но это не повод жаловаться что какой то другой бизнес с теми же целями не может получить доступ к этим данным.
А как тогда решать описанные в тексте задачи?
спецфорк хрома?
или вообще патчилка в памяти?
вообще загрузка перехватчика в процесс и патч кода?
В тексте ведь описаны случаи когда:
- есть рут
- пользователь — считает перехват допустимым
p.s. я бы лучше сетовал что новая технология выставляет гугл как новый централизованный центр сертификации (ведь он единолично будет решать, попадать ли очередному сертификату в список или нет), как минимум в такой реализации стандарт не должен становиться мейнстримом
CT-логов — более одного.
В смысле даже для нацсертификатов Российских их больше одного https://habr.com/ru/company/yandex/blog/667300/
У хрома их пачка https://github.com/google/certificate-transparency-community-site/blob/master/docs/google/known-logs.md
И сертификат должен быть в как минимум двух логах https://certificate.transparency.dev/howctworks/
но это не значит что логах одной конторы
Не потому ли Chrome и Android Web View не обновляются на российских устройствах?
Chrome на Android сломал чужие MitM-сертификаты, но это можно исправить