Как добавить исключение сертификата сервера в Chrome/Edge?

jacob_w

21.03.2023, 22:27

Можно ли добавить исключения сертификатов сервера для некоторых веб-сайтов (чтобы пропустить страницу с предупреждением о сертификатах с истекшим сроком действия, самозаверяющих сертификатах или с отсутствующими или несоответствующими CN/SAN) в Google Chrome / MS Edge для всех пользователей (любым способом с помощью сценария, но предпочтительно с использованием политик/реестра)?

В Mozilla Firefox я использую Autoconfig, который достаточно хорош без использования политики. Есть ли альтернатива Autoconfig в Chrome/Edge?

520

0 + 0

брандмауэр

Гугл Хром

групповая политика

ssl-сертификат-ошибки

Microsoft Edge

Рейтинг:1

Server

Conure

21.03.2023, 23:26

Вы можете добавить самоподписанные сертификаты в качестве доверенных корней на целевые машины, на которых вы хотите избежать ошибок сертификатов. Это можно сделать с помощью GPO в разделе Параметры безопасности\Политики открытых ключей\Доверенные корневые центры сертификации.

В конфигурации по умолчанию IE, старый и новый Edge, а также Chrome (и другие браузеры Chromium) будут соблюдать доверительные отношения сертификатов системы.

Надевая мою охранную шляпу: доверять отдельным самозаверяющим сертификатам — не очень хорошая идея, потому что закрытый ключ сертификата — это единственное, что нужно, чтобы начать спуфинг трафика на веб-сайт. Вам следует рассмотреть возможность развертывания внутренних центров сертификации, чьим корням/промежуточным звеньям вы затем доверяете через AD, и развертыванию сертификатов из них. Регистрация сертификата очень скриптовая!

0 + 0

jacob_w

22.03.2023, 18:23

Я бы добавил, что в случае утечки закрытого ключа сертификат кажется менее важным. В любом случае, я развертываю корневые сертификаты на конечных точках (если не GPO, то certutil/certmgr) — это прекрасно работает, когда сертификаты имеют атрибуты, требуемые браузером, и подписаны корневым/промежуточным звеном, как вы написали. К сожалению, рассматриваемые сертификаты: 1) находятся вне моего контроля (добавление исключения - единственный способ избавиться от предупреждения); 2) не только самоподписанные. Если вы добавите к этому отсутствие SAN, доверие к сертификату не имеет значения для Chrome (IE немного больше доверяет).

Ответить

Conure

22.03.2023, 19:57

Правда, просто в центральном ЦС проще управлять отзывом сертификата и жизненным циклом сертификата, но он не менее безопасен. Однако сертификат без SAN теперь имеет большое значение. Я не знаю, как обойти это с помощью Chrome. Сожалею. :-(

Ответить

Admin

Этот вопрос на других языках:

EN: How to add server certificate exception to Chrome/Edge?

TH: จะเพิ่มข้อยกเว้นใบรับรองเซิร์ฟเวอร์ให้กับ Chrome/Edge ได้อย่างไร

RO: Cum se adaugă o excepție de certificat de server la Chrome/Edge?

RU: Как добавить исключение сертификата сервера в Chrome/Edge?

VI: Làm cách nào để thêm ngoại lệ chứng chỉ máy chủ vào Chrome/Edge?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.