如何解决HTTP 的公钥固定扩展
我们的渗透测试团队建议在 IIS 级别为 HTTP 配置公钥固定扩展。
维基百科说这是一种已弃用的安全机制。并且大多数博客和文章都不推荐置顶,因为它涉及巨大的风险。
- https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
- https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- https://threatpost.com/google-to-ditch-public-key-pinning-in-chrome/128679/
在网站上使用 PKP 有什么好处吗?
请多多指教。
解决方法
我可以确定的是,与不使用任何证书或加密连接的网站相比,公钥固定可以使连接更安全。当 Google 首次引入 PKP 时,它被用来为网络客户端添加一层安全性。
但经过这么长时间的技术变革,出现了更安全的技术,这让PKP看起来并不完美。
通过终止连接,PKP 可以帮助保护最终用户免受中间人 (MITM) 攻击。 MITM 攻击可能发生的一种方式是,攻击者使用欺诈性证书创建欺骗性网站以获取用户的个人信息。
现在看来PKP并不安全,很少有网站使用它,甚至很多浏览器都放弃了对它的支持。我认为你的渗透测试团队知道这一点,但为什么他们坚持使用它,你需要问他们。他们可能有一些使用 PKP 的特殊原因。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
