3

サイトに HPKP ヘッダーを追加しましたが、Chrome または Safari で受け入れられません。プロキシを設定し、chrome://net-internals/#hsts自分のドメインにアクセスして探して手動でテストしましたが、見つかりませんでした。HPKP は正しいようです。また、HPKP ツールセットを使用してテストしたので、有効であることがわかりました。

私は自分の流れで何か変なことをしているかもしれないと思っています。で提供される Web アプリがありmyapp.example.comます。ログイン時に、アプリはユーザーをリダイレクトして、authserver.example.com/beginOpenID Connect 認証コード フローを開始します。HPKP ヘッダーは からのみ返されauthserver.example.com/beginます。これが問題である可能性があります。HPKPinclude-subdomainヘッダーにあるので、これは問題ではないと思います。

これは HPKP ヘッダーです (読みやすくするために改行が追加されています)。

public-key-pins:max-age=864000;includeSubDomains; \
pin-sha256="bcppaSjDk7AM8C/13vyGOR+EJHDYzv9/liatMm4fLdE="; \
pin-sha256="cJjqBxF88mhfexjIArmQxvZFqWQa45p40n05C6X/rNI="; \
report-uri="https://reporturl.example"

ありがとう!

4

2 に答える 2

1

ローカルにインストールされた CA (実行中のプロキシに使用されるものなど) は、HPKP チェックを上書きします。

これは、それらの蔓延を考慮してインターネットを完全に破壊しないようにするために必要です。大企業で使用されるウイルス対策ソフトウェアとプロキシは、基本的にローカルで発行された証明書を介した MITM https トラフィックであり、そうしないとトラフィックを読み取ることができません。

CA をローカルにインストールするにはマシンへのアクセスが必要であり、その時点でとにかくゲーム オーバーになると主張する人もいますが、私にとっては、これでも HPKP の保護が大幅に低下し、HPKP を使用することの高いリスクと相まって、私は本当にそうではありません。それのファン。

于 2017-03-24T05:44:19.357 に答える