Flo*_*der 5 ssl public ca pinning
1.问:
请问HTTP公钥钉扎(HPKP) 真正提高安全性?
MITM(例如NSA)可以拦截对服务器的第一个请求,并使用由受损 CA 签名的"伪造"证书进行响应.
因此,如果与服务器的初始连接未被篡改,HPKP仅提高安全性,并且如果您100%确定,则最初连接到正确的服务器.
正确?
2.问题:
该Public-Key-Pins头需要包括两个不同的证书中的至少两个散列,一个用作"备份"证明.
这是否意味着我必须从两个不同的CA购买两个不同的证书?
那将是相当昂贵的.如果您购买一个CA,CA是否应该为您提供相同域的两个证书?
安全不应该付出代价,每个人都应该能够建立安全的服务.
1. 是的
2. HPKP与证书本身无关.就像这个名字告诉你它是关于公钥的.
要获取证书,您将使用私钥创建证书申请.您的公钥存储在从CA获得的证书中.然后将该公钥与浏览器在钉扎头中的先前请求所获得的公钥进行比较.
通过您的响应,您将提供该私钥的公钥和私钥备份的另一个公钥.