Public HTTP 键固定扩展
Public Key Pinning Extension for HTTP
我们的渗透测试团队建议在 IIS 级别为 HTTP 配置 Public 密钥固定扩展。
维基百科称这是一种已弃用的安全机制。而且大多数博客和文章都不推荐固定,因为它涉及巨大的风险。
- https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
- https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- https://threatpost.com/google-to-ditch-public-key-pinning-in-chrome/128679/
在网站上安装 PKP 有什么好处吗?
请指教
我可以确定的是,与不使用任何证书或加密连接的网站相比,public密钥固定可以使连接更安全。 Google 首次引入 PKP 时,它用于为 Web 客户端添加一层安全性。
但是经过这么长时间的技术变革,越来越安全的技术出现,让PKP看起来并不完美。
通过终止连接,PKP 可以帮助保护最终用户免受中间人 (MITM) 攻击。 MITM 攻击可能发生的一种方式是攻击者使用欺诈性证书创建欺骗性站点以获取用户的个人信息。
现在看来PKP并不安全,很少有网站使用它,甚至很多浏览器都放弃了对它的支持。我想你的渗透测试团队知道这一点,但为什么他们坚持使用它,你需要问他们。他们可能有一些使用 PKP 的特殊原因。
我们的渗透测试团队建议在 IIS 级别为 HTTP 配置 Public 密钥固定扩展。
维基百科称这是一种已弃用的安全机制。而且大多数博客和文章都不推荐固定,因为它涉及巨大的风险。
- https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
- https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- https://threatpost.com/google-to-ditch-public-key-pinning-in-chrome/128679/
在网站上安装 PKP 有什么好处吗?
请指教
我可以确定的是,与不使用任何证书或加密连接的网站相比,public密钥固定可以使连接更安全。 Google 首次引入 PKP 时,它用于为 Web 客户端添加一层安全性。
但是经过这么长时间的技术变革,越来越安全的技术出现,让PKP看起来并不完美。
通过终止连接,PKP 可以帮助保护最终用户免受中间人 (MITM) 攻击。 MITM 攻击可能发生的一种方式是攻击者使用欺诈性证书创建欺骗性站点以获取用户的个人信息。
现在看来PKP并不安全,很少有网站使用它,甚至很多浏览器都放弃了对它的支持。我想你的渗透测试团队知道这一点,但为什么他们坚持使用它,你需要问他们。他们可能有一些使用 PKP 的特殊原因。