آیا راهی برای گفتن یک مرورگر، مانند Chrome وجود دارد، برای رد کردن یک
جایگزین گواهی MITM مانند آنهایی که توسط پروکسی شرکت استفاده می شود
سرورها
به طور کلی، شماره
پاسخ آن به ترتیب با ترکیبی از مرورگر و سیستم عامل متفاوت است – چه چیزی برای فروشگاه اعتبار مورد استفاده قرار می گیرد و اینکه آیا شما حق دارید که آن را تنظیم کنید. اما مرورگرها به حساب اعتماد خود برای کنترل اینکه کدام CA اعتماد دارند، به راه اندازند و راه های قابل تنظیم را برای لغو این فروشگاه اعتماد ارائه ندهند. شما ممکن است بتوانید با فروشگاه trust آشنا شوید، اما مرورگر برای رفع لایه های جداگانه ای از کنترل استفاده نمی کند.
اجازه دهید کروم را در ویندوز به عنوان مثال انتخاب کنیم. در ویندوز، کروم از مدیر گواهینامه ویندوز برای تعیین آنچه که CA CA های معتبر استفاده می کند استفاده می کند. اگر سرپرست سیستم شما پروکسی شرکتی را در آنجا قرار داده و مجوزهای محلی خود را برای حذف آن نداشته باشید، نمیتوانید بگویید Chrome به آن اعتماد ندارد
(اگر دارای امتیازات اداری هستید و آن را حذف کنید احتمالا خط مشی شرکت شما را نقض خواهد کرد به طوری که ممکن است منجر به ختم شود؛ علاوه بر این احتمالا مجددا به طور خودکار در 15 دقیقه یا بیشتر دوباره اعمال خواهد شد.)
فایرفاکس به صورت پیش فرض به استفاده از اعتبار فروشگاه مبتنی بر نمایه محلی به شما توانایی بیشتری برای اصلاح آن را می دهد (اما دوباره این کار ممکن است یک جریمه شلیک باشد، زیرا شما فعالانه کنترل شرکت ها را از بین می برید). در واقع یک پرچم برای ایجاد فایرفاکس در CA از مدیر گواهینامه در ویندوز وجود دارد که در این راستا به منظور ساده تر کردن زندگی آن مدیرانی که سیاست شرکت شما را بر عهده دارند، ساده تر می شود. من نیز روش های پیچیده ای را دیده ام (به عنوان مثال، بازنویسی فروشگاه اعتماد فایرفاکس به صورت برنامه ریزی شده)، استفاده می شود تا آن را مانند یک ابزار سازمانی اداره کند.
من می ترسم اگر شاید کروم راهی برای شکست که
نه و چون گواهینامه ها عمیق در حال پردازش هستند، حتی یک API وجود ندارد که بتواند اجازه دهد فرمت ها با آن آشفته شوند. (که به نوعی عمدی است – دلایلی است که فروشگاههای اعتباری در معرض آسیب زدن قرار می گیرند)
یا حداقل آن را زمانی که این اتفاق می افتد بیشتر می کند.
شما می توانید از چیزی مانند گسترش اطلاعات گواهی به راحتی استفاده کنید هنگام ورود به یک سایت جدید یا حساس، بررسی دستی را انجام دهید. این به سرعت به شما می گوید که اگر شما برای این اتصال به MITM مشغول هستید و شما را قادر می سازد تا انتخاب کنید که آیا باید ادامه دهید یا نه.
(فقط با کلیک بیشتر می توانید همین کار را با مرورگر معمولی انجام دهید).
با نگاه کردن به کد آن extension، احتمالا شما می توانید آن را برای ارائه یک پرچم مخصوص رنگی (BLACK!) بفرستید وقتی یک CA خاص که نگران آن هستید استفاده می شود. ساختن این تغییر به عنوان یک تمرین برای خواننده باقی مانده است:
من نمی توانم به اندازه کافی تأکید کنم که توانایی فنی برای دور زدن کنترل ها نباید با حق رفع کنترل ها اشتباه گرفته شود و ممکن است که آنها با آنها سر و کار داشته باشند. به عنوان مثال، هر دو معمولا "منطقی استفاده شخصی محدود" را در نظر می گیرند – پس از ورود به تامین کننده مراقبت های بهداشتی یا بانک خود از استثنائات لازم است که به دلایلی معتبر صورت گیرد – سپس با استناد به IT و HR درباره ایجاد استثنا برای این سایت ها صحبت کنید. اکثر پروکسی های MITM می توانند پیکربندی شوند تا سایت های فردی بتوانند از طریق un-intercepted عبور کنند.
و اگر آنها استثنائی را انجام ندهند، از کار آنها را مرور نکنند یا مکان کاری پیدا کنند که از حق خود استفاده نکنند برای نظارت.