1元虚拟主机

当前位置:  首页 >  产品资讯 >  HPKP公钥钉有哪些作用?

HPKP公钥钉有哪些作用?

来源:景安网络

作者:网络

更新时间:2016-04-21 15:44

景安网络—专业的多线服务器托管商!提供快云服务器,快云VPS,虚拟主机,域名注册,网站空间,服务器托管,服务器租用,SSL证书。1元试用30天vps活动,活动进行中!查看详情

    越来越多的人们意识到实施HTTPS加密的重要性,使用HTTPS加密协议替代HTTP明文协议,已经成为不争的共识。而如何应用HTTPS加密,成为大家更关心的话题。沃通WoSign将以此为主题,探讨HTTPS加密的应用,分享实践。本文将介绍 HPKP 公钥钉的作用。
 
    HPKP 是一个 HTTP 安全扩展,最初发布于 2015 年 4 月(RFC 7469)。该标准定义了一种方法,可避免浏览器访问到伪造证书的 HTTPS 网站。在浏览器访问 HTTPS 网站时,网站可以锁定浏览器所应接受的该网站的公钥列表;只有浏览器接受的证书同之前通过 HPKP 头所申明的一致时才能访问该网站。
 
    HPKP 的几个功能简述
 
    1.HPKP 是在 HTTP 层面设置的,使用 Public-Key-Pins (PKP)响应头。

    2.该规则的保留周期通过 max-age 参数设置,单位是秒。

    3.PKP 响应头只能用于正确的安全加密通讯里面。

    4.如果出现了多个这样的响应头,则只处理个。

    5.固定机制可以使用includeSubDomains参数扩展到子域。

    6.当接收到一个新的 PKP 响应头时,它会覆盖之前存储的公钥固定和元数据。

    7.公钥固定是用哈希算法生成的,其实是一个“主题公钥信息(SKPI)”指纹。
 
    HPKP 如何工作
 
    当网站管理人员为他的网站设置 HPKP 头时,次连接到该域名的用户将接收到一个包括了公钥指纹的列表,以后对该网站的访问必定使用这些公钥之一才能进行。
 
    这些公钥存储在用户的浏览器里面,当用户再次访问该网站时,在建立 HTTPS 连接前,浏览器和服务器会确认它们都使用了正确公钥和服务器证书。如果不是,那么支持 HPKP 的浏览器会拒绝用户访问该网站。

    hpkp
    设置HPKP可以防止攻击者通过假冒网站来欺骗用户,但是如果网站配置错误的话,会让你的用户也无法访问你的网站。
 
    积极的一面是,当网站管理员熟悉了如何管理白名单中的证书及其客户端密钥,HPKP 可以为大多数带有敏感数据的网站提供了必要的安全措施。
一些的服务已经实施了 HPKP ,比如 GiHub、Mozilla 和 Pixabay 等。
 

本文链接:http://ssl.zzidc.com/chanpinzixun/2016/0421/378.html

关键字:HPKP

若无特别注明,文章皆为景安网络原创,转载请注明出处。

域名1元

 
返回顶部

联系我们

SSL产品
24小时客服热线:

4006-598-598

0371-9618961