如何正確設置 HPKP 標頭(Public-Key-Pinning Header)?
[英]How to properly set HPKP header (Public-Key-Pinning Header)?
問題描述
我對標題 Public-Key-Pinning 感到非常困惑。 你如何在Apache中添加它?
我做了什么:
分別從我的域證書、中間證書和根證書中獲取公鑰哈希並將其添加到 apache,啟用 mod_headers。 但是 ssllabs 說“沒有鏈。檢查備份引腳”
Header always set Public-Key-Pins "pin-sha256=\"Root-SSL-Public-Key\"; pin-sha256=\"Intermediate-SSL-Public-Key\"; pin-sha256=\"Domain-SSL-Public-Key\"; max-age=2592000; includeSubDomains"
1 個解決方案
解決方案1
2 已采納 2020-02-18 14:28:12
HPKP 是個壞主意。 使用它來破壞您的網站太容易了,而且鑒於此,它提供的保護相當小。
的事情之一,該規范包括減輕破壞你的網站,你必須至少有一個引腳,是不是在你當前的證書和鏈。 也就是說,您必須有兩個完全獨立的引腳 - 一個來自備份密鑰/證書/CA,因此如果您失去對主要引腳的控制,您仍然可以連接。 如果您只固定了您的證書、中間證書和根證書,那么它們都來自同一鏈,因此不符合此要求。
解決這個問題,它應該被 SSLLabs 接受。 但老實說,為什么要考慮瀏覽器支持和風險與回報的關系呢?
公鑰固定不起作用
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.