HPKP証明書のピン留めでファイアウォールのDPIインスペクションを無効にできますか？

hPKP証明書のピン留めでファイアウォールのDPIインスペクションを無効にできますか？

いいえ、HPKPはファイアウォールとDPIの動作に自動的に影響を与えません。

FirefoxとChromeカスタムルート証明書をインポートしたユーザーのピン検証を無効にすると、すべてのピン違反が無視される可能性がありますか？.

それは可能であるだけでなく、実際にそうです。証明書が信頼できるものとして明示的にインポートされたCAによって署名されている場合、固定は無効になります。これは、ファイアウォールだけでなくデスクトップウイルス対策製品でも可能なように、合法的なSSLインターセプトを行うために明示的に行われます。

その影響は何ですか？ブラウザは警告を報告しますか？

この影響は、証明書のピン留めが使用されている場合でもSSLインターセプトが可能であることです。ブラウザは警告を表示しません。ユーザーは、証明書の詳細を見ることで傍受を検出できます。また、通常EV証明書（つまり、緑色のURLバー）があるサイトはEV証明書をもう持たないことがわかります。それ以外には違いは見られません。

もちろん、SSLインターセプトにはさまざまな影響があります。これらのほとんどはHPKPに固有のものではないため、ここでは説明しません。ただし、HPKPに固有の影響が1つあります。ほとんどのSSLインターセプトソリューションは、HPKPヘッダーのピン留め情報が取得した証明書と一致するかどうかをチェックせず、ブラウザーのようにHPKP情報を保存せず、期待される証明書を取得するかどうかをチェックしません後で。つまり、SSLインターセプトの場合、SSLインターセプト製品とその背後にあるブラウザーの両方によってHPKPは基本的に無視されます。