¿Puede la fijación de certificados HPKP deshabilitar la inspección de ppp en el firewall?
No, HPKP no tiene un efecto automático en el firewall y en cómo lo hace DPI.
Es posible que Firefox y Chrome deshabiliten la validación de pines para los usuarios que importaron certificados raíz personalizados. Todas las violaciones de puntas se ignoran.
Eso no solo es posible sino que en realidad es así. El anclaje se desactivará si el certificado está firmado por una CA que se importó explícitamente como confiable. Esto se hace explícitamente para hacer posible la intercepción SSL legal como lo hacen los cortafuegos, pero también los productos antivirus de escritorio.
¿Cuál es el impacto de eso? ¿El navegador informará alguna advertencia?
El impacto de esto es que la intercepción de SSL es posible incluso si se utiliza la fijación de certificados. Los navegadores no mostrarán ninguna advertencia. Los usuarios pueden detectar la interceptación mirando los detalles del certificado. Y verán que los sitios que usualmente tienen certificados EV (es decir, una barra de URL verde) ya no tendrán un certificado EV. Aparte de eso no se puede ver ninguna diferencia.
La intercepción SSL, por supuesto, tiene varios impactos. La mayoría de estos no son específicos de HPKP, por lo que no los discutiré aquí. Pero hay un impacto específico para HPKP: la mayoría de las soluciones de intercepción SSL no verifican si la información de anclaje en el encabezado de HPKP coincide con el certificado que acaban de obtener y tampoco guardarán la información de HPKP como lo hace el navegador y verifican si obtienen el certificado esperado luego. Esto significa que el HPKP se ignora esencialmente en el caso de la intercepción de SSL, tanto por el producto de intercepción de SSL como por el navegador detrás de él.