Adguard on macOS 的 https filter 不检查证书吊销状态

2019-10-29 22:10:05 +08:00
 parametrix

最近尝试使用 adguard,为了获得匹敌浏览器插件的拦截效果就必须开启 https filter。但 adguard 作为 https client 并不完整,其中最严重的问题就是不检查证书的吊销状态,测试 https://revoked.badssl.com 会成功连接:

https://i.imgur.com/VrOueN8.jpg

。除此之外还支持一些陈旧的加密算法:

https://i.imgur.com/MMsyRkV.png

,自生成根证书时间太长。

实践中这些都不容易被利用,但总是削弱了安全性。考虑到这部分代码没有开源,说不清实践的质量到底怎么样,所以值不值得用大家就见仁见智了。

以上问题已经写邮件给开发团队,目前还没有收到回复。

4745 次点击
所在节点    信息安全
15 条回复
18x
2019-10-29 22:41:47 +08:00
这个证书吊销域名好像有点问题啊,我用 Firefox chrome 测试都是受信任的
parametrix
2019-10-29 23:00:15 +08:00
@18x 不会吧,我这边 chrome 关掉 adguard 马上就有反应

18x
2019-10-29 23:05:32 +08:00
i.loli.net/2019/10/29/61c8puAC3GmIXdj.jpg
18x
2019-10-29 23:18:11 +08:00
i.loli.net/2019/10/29/fuI5awQT19cdPiy.jpg
cydian
2019-10-30 00:25:13 +08:00
手机 chrome 实测无吊销。
parametrix
2019-10-30 02:25:24 +08:00
@cydian
@18x



所以这个证书的确是吊销了,难不成 OCSP 服务器在国内也被墙了。。。
MicrosoftAccount
2019-10-30 02:34:02 +08:00
chrome 早就不在线检测证书吊销状态了。Windows 下可以通过注册表修改 chrome 的 policy 强制启用
注册表键值
paste.ubuntu.com/p/76qZyDwbmt
parametrix
2019-10-30 07:30:34 +08:00
@MicrosoftAccount

但是我这边 chrome 和 safari 都是默认设置,都能正确提示证书吊销。而且根据

https://chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md

“ What's the story with certificate revocation?
Chrome's primary mechanism for checking the revocation status of HTTPS certificates is CRLsets. ”

chrome 仍然是检查证书吊销状态的。
parametrix
2019-10-30 07:43:27 +08:00
@MicrosoftAccount

而且这个证书的确在 CRL 里

18x
2019-10-30 07:54:15 +08:00
用楼主这个测试网站 revoked.badssl.com 手机上 chrome Firefox 都会信任
但我用另一个测试网站 revoked.grc.com Firefox 不信任 打开 adguard 以后 revoked.badssl.com 的证书会被替换,revoked.grc.com 的证书不会被替换
parametrix
2019-10-30 08:01:19 +08:00
@18x 是的,我能重复你 revoked.grc.com 这里的结果。

但是除了 revoked.badssl.com 会被替换,所有 https://www.digicert.com/digicert-root-certificates.htm 上的 revoked demo 都会被替换,比如

https://assured-id-root-g3-revoked.chain-demos.digicert.com/
https://assured-id-root-g2-revoked.chain-demos.digicert.com/
https://global-root-ca-revoked.chain-demos.digicert.com/

所以我还是觉得 adguard 不能正确检查证书吊销状态。
18x
2019-10-30 08:13:26 +08:00
@parametrix 你举例的这几个域名我测试都能在 Firefox 信任 可能 adguard 和 Firefox 用的一个列表
parametrix
2019-10-30 08:18:32 +08:00
@18x 而且都不检查证书引用的 crl 和 ocsp ...
18x
2019-10-30 08:29:53 +08:00
@parametrix 所以啊 这个 adguard 检查不检查证书也没什么区别,反正浏览器都是信任 就个 IE 比较认真去检查
parametrix
2019-10-31 18:30:01 +08:00
@18x
@MicrosoftAccount

已收到官方回复,谢谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/614226

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX