我正在对我的移动应用程序实施 SPKI 固定,我想知道当我与另一个 CA 续订时主题发布密钥是否会改变?我仍然使用相同的 CSR 来生成证书。人们说如果我们使用相同的证书签名请求文件 (CRS),公钥将是相同的,但我不确定 CA 是否也是一个因素。
问问题
65 次
1 回答
1
简短的回答是:不,它不应该改变,只要你做的事情正确。
建议当您指定 SPKI HTTP 标头时,您应该在您的控件中提供至少两个私钥的主题公钥信息 (SPKI) 指纹(一个用于生产,另一个用于备份)。现在,正如这里报道的那样,在私钥丢失的情况下,指定知名 CA 的 SPKI 指纹是一种常见的做法,但它会使 HPKP 无效,因为如果 CA 遭到破坏,那么您基本上是在说“信任 CA 颁发的证书”。这就是为什么建议提供您自己的公钥的 SPKI 指纹:一个用于常用,另一个用于私钥丢失的情况。因此,只要您在自己的公钥的 SPKI HTTP 标头中指定,每当您使用另一个 CA(具有相同的 CSR 或新的 CSR)生成新证书时,您的公钥将是相同的,并且 SPKI 仍将是有效的。
于 2019-05-13T19:23:37.180 回答