2019獨角獸企業重金招聘Python工程師標準>>>

那么問題到底發生在哪里？

HPKP 公鑰固定所攜帶的是中級證書或者根證書的哈希值，并與終端瀏覽器約定此哈希通常會在 1 年左右失效。

例如藍點網目前使用的是 TrustAsia（中級 CA）提供的證書，我們已經將 TrustAsia 的中級證書哈希進行固定。

server{listen 443 ssl http2;ssl on;ssl_certificate /usr/local/nginx/conf/vhost/crt/www.landiannews.com.crt;ssl_certificate_key /usr/local/nginx/conf/vhost/crt/www.landiannews.com.key;# 啟用嚴格安全傳輸HSTS add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";# 啟用 HPKP 公鑰固定add_header Public-Key-Pins 'pin-sha256="IiSbZ4pMDEyXvtl7Lg8K3FNmJcTAhKUTrB2FQOaAO/s="; pin-sha256="klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY="; max-age=2592000; includeSubDomains';ssl_session_timeout 5m;}

如果 1 年后藍點網不再使用 TrustAsia 簽發的證書而換成其他，這會造成實際使用證書與固定的證書哈希不同。那么瀏覽器就會直接攔截用戶與藍點網服務器之間的連接，瀏覽器會認為新更換的 CA 可能是想進行惡意劫持。

由此可引發非安全方面的拒絕訪問攻擊

安全研究員斯科特稱攻擊者可劫持用戶訪問并返回惡意 HPKP 頭，這種操作并不會造成用戶的數據發生泄露。但惡意 HPKP 頭在被瀏覽器接收后會阻止用戶正常訪問網站，因為瀏覽器校驗到的 HPKP 頭與真實服務器不同。因此惡意攻擊者可以利用 HPKP 公鑰固定策略無差別的對所有 HTTPS 網站發起這種有點另類的拒絕訪問攻擊。

雖然網站所有者始終沒有丟失對網站和服務器的控制權， 但由于固定哈希已經被接收因此沒有辦法清除緩存。

撰寫該標準的谷歌工程師稱 HPKP 很可怕

參與撰寫和制定該標準（RFC 7469）的谷歌工程師稱公鑰固定變得非常可怕，該標準會對生態造成嚴重危害。除了惡意攻擊者可以偽造 HPKP 頭進行拒絕訪問攻擊外，如果證書發生泄露需要進行吊銷也會引發較大問題。因為吊銷舊證書后再請求簽發新證書只能選擇此前固定的 CA 機構，你不能再選擇新的 CA 機構為你簽發證書。

基于此方面考慮 HPKP 標準在制定時已要求網站至少固定兩份哈希，如藍點網固定的是 TrustAsia 和 Comodo。

因此最終更換證書時我只能繼續選擇由 TrustAsia 或 Comodo 簽發的證書， 其他的證書瀏覽器則會拒絕接受。

Google Chrome v67 版開始棄用 HPKP

目前已經支持 HPKP 公鑰固定的瀏覽器有 Google Chrome 瀏覽器、Mozilla Firefox 瀏覽器以及 Opera 瀏覽器。既然作為標準參與制定的谷歌都決定放棄支持，Mozilla Firefox 和 Opera 勢必也會在后續停止支持公鑰固定。

谷歌去年 8 月的數據顯示全球啟用 HPKP 的站點僅只有 375 個，這個數字對于整個互聯網來說真的是微不足道。同時由于很多網站使用 CDN 或者如 CloudFlare 類的 DDoS 防護，此類服務本身就沒準備支持 HPKP 公鑰固定。

最終谷歌會在 2018 年 5 月份發布的 Chrome v67 版中正式棄用 HPKP，使用該標準的網站可以提前撤銷固定了。

更多Linux咨詢請查看www.linuxprobe.com

轉載于:https://my.oschina.net/u/3008585/blog/1575567

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的Chrome 或将于2018年正式弃用 HPKP 公钥固定标准的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。