1.问:
请问HTTP公钥钉扎(HPKP) 真正提高安全性?
MITM(例如NSA)可以拦截对服务器的第一个请求,并使用由受损 CA 签名的"伪造"证书进行响应.
因此,如果与服务器的初始连接未被篡改,HPKP仅提高安全性,并且如果您100%确定,则最初连接到正确的服务器.
正确?
2.问题:
该Public-Key-Pins头需要包括两个不同的证书中的至少两个散列,一个用作"备份"证明.
这是否意味着我必须从两个不同的CA购买两个不同的证书?
那将是相当昂贵的.如果您购买一个CA,CA是否应该为您提供相同域的两个证书?
安全不应该付出代价,每个人都应该能够建立安全的服务.
我正在尝试使用 nginx (v1.6.2) 实现一个简单的速率限制系统
网站可用/mysite.com:
limit_req_zone $binary_remote_addr zone=myzone:10m rate=2r/m;
server {
listen 80;
server_name mysite.com;
root /var/www/vhosts/mysite.com;
error_log [..];
access_log [..];
include conf.d/php-fpm.conf;
location = / {
limit_req zone=myzone burst=3 nodelay;
index index.html;
}
location / {
try_files $uri =404;
}
location ^~ /pages {
include conf.d/php-fpm.conf;
internal;
}
location = /email {
rewrite ^(.*)$ /pages/email.html;
}
location = /email/subscribe {
limit_req zone=myzone burst=2 nodelay;
rewrite ^(.*)$ /pages/email.php?action=subscribe;
}
location ~ /api {
limit_req zone=myzone burst=5 nodelay;
rewrite ^(.*)$ …所以我刚刚升级到支持HTTP2的nginx 1.9.5.
我全部换成listen spdy由listen http2,去除spdy_headers_comp指令也删除add_header Alternate-Protocol 443:npn-spdy/3;
然后我在Firefox中打开了我的网站,打开了网络监视器,瞧: Version: HTTP/2.0
但是Firefox如何知道我的网站支持HTTP2?在尝试HTTP1.1之前,它是否始终首先尝试通过HTTP2连接?