2

我对标头 Public-Key-Pinning 感到非常困惑。如何在 Apache 中添加它?

我做了什么:
分别从我的域证书、中间证书和根证书中获取公钥哈希,并将其添加到 apache,启用了 mod_headers。但 ssllabs 说“没有链。检查备份引脚”

标头始终设置 Public-Key-Pins "pin-sha256=\"Root-SSL-Public-Key\"; pin-sha256=\"Intermediate-SSL-Public-Key\"; pin-sha256=\"Domain-SSL -Public-Key\"; max-age=2592000; includeSubDomains"
4

1 回答 1

3

HPKP 是个坏主意。使用它来砖你的网站太容易了,而且它提供的保护相当小。

几乎所有的浏览器都因此放弃了对 HPKP的支持。

规范中为减轻破坏您的网站而包含的一件事是,您必须至少拥有一个不在您当前的证书和链中的pin 。也就是说,您必须有两个完全独立的引脚 - 一个来自备份密钥/证书/CA,因此如果您失去对主要引脚的控制,您仍然可以连接。如果您只固定了您的证书、中间证书和根证书,那么它们都来自同一个链,因此不符合此要求。

修复它,它应该被 SSLLabs 接受。但老实说,考虑到浏览器支持和风险与回报情况,为什么还要费心呢?

于 2020-02-18T14:28:12.257 回答