security - HTTP 的公钥固定扩展

Question

我们的渗透测试团队建议在 IIS 级别为 HTTP 配置公钥固定扩展。

维基百科说这是一种已弃用的安全机制。并且大多数博客和文章不推荐钉住，因为它涉及巨大的风险。

• https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
• https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
• https://threatpost.com/google-to-ditch-public-key-pinning-in-chrome/128679/

在网站上有 PKP 有什么好处吗？

请指教。

Answer 1

我可以确定的是，与不使用任何证书或加密连接的网站相比，公钥固定可以使连接更安全。当 Google 首次引入 PKP 时，它被用来为 Web 客户端添加一层安全性。

但是经过这么长时间的技术变革，出现了更安全的技术，这使得PKP看起来并不完美。

通过终止连接，PKP 可以帮助保护最终用户免受中间人 (MITM) 攻击。MITM 攻击可能发生的一种方式是攻击者使用欺诈性证书创建欺骗性网站以获取用户的个人信息。

现在看来PKP并不安全，很少有网站使用它，甚至很多浏览器都放弃了对它的支持。我认为您的渗透测试团队知道这一点，但是为什么他们坚持使用它，您需要询问他们。他们可能有一些使用 PKP 的特殊原因。