越来越多的人们意识到实施HTTPS加密的重要性,使用HTTPS加密协议替代HTTP明文协议,已经成为不争的共识。而如何应用HTTPS加密,成为大家更关心的话题。GDCA将以此为主题,探讨HTTPS加密的应用,分享实践。本文将介绍 HPKP 公钥钉的作用。
HPKP 是一个 HTTP 安全扩展,最初发布于 2015 年 4 月(RFC 7469)。该标准定义了一种方法,可避免浏览器访问到伪造证书的 HTTPS 网站。在浏览器访问 HTTPS 网站时,网站可以锁定浏览器所应接受的该网站的公钥列表;只有浏览器接受的证书同之前通过 HPKP 头所申明的一致时才能访问该网站。
HPKP 的几个功能简述
1.HPKP 是在 HTTP 层面设置的,使用 Public-Key-Pins (PKP)响应头。
2.该规则的保留周期通过 max-age 参数设置,单位是秒。
3.PKP 响应头只能用于正确的安全加密通讯里面。
4.如果出现了多个这样的响应头,则只处理个。
5.固定机制可以使用includeSubDomains参数扩展到子域。
6.当接收到一个新的 PKP 响应头时,它会覆盖之前存储的公钥固定和元数据。
7.公钥固定是用哈希算法生成的,其实是一个“主题公钥信息(SKPI)”指纹。
HPKP 如何工作
当网站管理人员为他的网站设置 HPKP 头时,次连接到该域名的用户将接收到一个包括了公钥指纹的列表,以后对该网站的访问必定使用这些公钥之一才能进行。
这些公钥存储在用户的浏览器里面,当用户再次访问该网站时,在建立 HTTPS 连接前,浏览器和服务器会确认它们都使用了正确公钥和服务器证书。如果不是,那么支持 HPKP 的浏览器会拒绝用户访问该网站。
设置HPKP可以防止攻击者通过假冒网站来欺骗用户,但是如果网站配置错误的话,会让你的用户也无法访问你的网站。
积极的一面是,当网站管理员熟悉了如何管理白名单中的证书及其客户端密钥,HPKP 可以为大多数带有敏感数据的网站提供了必要的安全措施。
一些的服务已经实施了 HPKP ,比如 GiHub、Mozilla 和 Pixabay 等。
GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
GDCA一直以“构建网络信任体系,服务现代数字生活”的宗旨,致力于提供全球化的数字证书认证服务。其自主品牌——信鉴易 TrustAUTH SSL证书:包括 OVSSL、EVSSL、代码签名证书等。为涉足互联网的企业打造更安全的生态环境,建立更具公信力的企业网站形象。
