5

1. 質問: HTTP Public-Key-Pinning (HPKP)
本当にセキュリティを向上させますか? MITM (NSA など) は、サーバーへの最初の要求を傍受し、侵害されたCA によって署名された「偽の」証明書で応答する可能性があります。 したがって、HPKP は、サーバーへの最初の接続が改ざんされておらず、最初に正しいサーバーに接続したことが 100% 確実な場合にのみ、セキュリティを向上させます。 正しい?


2. 質問:ヘッダーには、「バックアップ」証明書として機能する 2 つの異なる証明書
Public-Key-Pins少なくとも 2 つのハッシュを含める必要があります。
これは、2 つの異なる CA から 2 つの異なる証明書を購入する必要があるということですか?
それはかなり高価になります。CA は、1 つ購入した場合、同じドメインに対して 2 つの証明書に署名することを提案するべきではありませんか?
セキュリティに代償を払うべきではありません。誰もが安全なサービスを構築できる必要があります。

4

2 に答える 2

6

1. はい

2. HPKP は、証明書自体には関係ありません。名前が示すように、それは公開鍵に関するものです。

証明書を取得するには、秘密鍵を使用して証明書要求を作成します。公開鍵は、CA から取得した証明書内に保存されます。次に、その公開鍵が、ピン留めヘッダー内の以前の要求によってブラウザーが取得したものと比較されます。

あなたの応答により、その秘密鍵の公開鍵と、秘密のバックアップ鍵の別の公開鍵が提供されます。

于 2015-03-07T09:25:43.743 に答える