您的位置: 首页 > EXCEL技巧 > Excel综合 >

Google Chrome团队决定明年弃用自己制定的HPKP公钥固

时间:2017-10-31 整理:docExcel.net
早些年谷歌工程师为了提高互联网整体的安全性避免因证书颁发机构违规操作而设计了 HPKP 公钥固定标准。公钥固定允许网站在服务器部署证书颁发机构的哈希值, 若网站使用的证书与固定的哈希不对应则拒绝连接。公钥固定的现实意义在于如果有 CA 证书颁发机构违规向某个域名私自签发证书那么也无法实现对网站的劫持。
但是现在谷歌浏览器已经决定弃用 HPKP 公钥固定标准,预计将会在 2018 年 5 月份到来的正式版里正式弃用。
那么问题到底发生在哪里?
HPKP 公钥固定所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希通常会在 1 年左右失效。例如蓝点网目前使用的是 TrustAsia(中级 CA)提供的证书,我们已经将 TrustAsia 的中级证书哈希进行固定。
如果 1 年后蓝点网不再使用 TrustAsia 签发的证书而换成其他,这会造成实际使用证书与固定的证书哈希不同。那么浏览器就会直接拦截用户与蓝点网之间的连接,浏览器会认为新更换的 CA 可能是想进行恶意劫持。
由此可引发非安全方面的拒绝访问攻击:
安全研究员斯科特称攻击者可劫持用户访问并返回恶意 HPKP 头,这种操作并不会造成用户的数据发生泄露。但恶意 HPKP 头在被浏览器接收后会阻止用户正常访问网站,因为浏览器校验到的 HPKP 头与真实服务器不同。
因此恶意攻击者可以利用 HPKP 公钥固定策略无差别的对所有 HTTPS 网站发起这种有点另类的拒绝访问攻击。虽然网站所有者始终没有丢失对网站和服务器的控制权,但由于固定哈希已经被接收因此没有办法清除缓存。
撰写该标准的谷歌工程师称 HPKP 很可怕:
参与撰写和制定该标准(RFC 7469)的谷歌工程师称公钥固定变得非常可怕,该标准会对生态造成严重危害。除了恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击外,如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的 CA 机构,你不能再选择新的 CA 机构为你签发证书。
基于此方面考虑 HPKP 标准在制定时已要求网站至少固定两份哈希,如蓝点网固定的是 TrustAsia 和 Comodo。因此最终更换证书时我只能继续选择由 TrustAsia 或 Comodo 签发的证书, 其他的证书浏览器则会拒绝接受。
Google Chrome v67 版开始弃用 HPKP:
目前已经支持 HPKP 公钥固定的浏览器有 Google Chrome 浏览器、Mozilla Firefox 浏览器以及 Opera 浏览器。既然作为标准参与制定的谷歌都决定放弃支持,Mozilla Firefox 和 Opera 势必也会在后续停止支持公钥固定。
谷歌去年 8 月的数据显示全球启用 HPKP 的站点仅只有 375 个,这个数字对于整个互联网来说真的是微不足道。同时由于很多网站使用 CDN 或者如 CloudFlare 类的 DDoS 防护,此类服务本身就没准备支持 HPKP 公钥固定。最终谷歌会在 2018 年 5 月份发布的 Chrome v67 版中正式弃用 HPKP,使用该标准的网站可以提前撤销固定了。
与联合创始人闹不和,如何“踢掉”他 问题:与联合创始人闹不和,如何“踢掉”他
回答:...许,他们还能给出你不错的方案。 剩下的事情就是尽快制定出出局方案,并且以最快的速度执行它。当然,方案制定必须以公平合理为原则,考虑到“出局者”为公司所做的贡献,给予一定的补偿也是
Mozilla Firefox 35.0 RC1发布 问题:Mozilla Firefox 35.0 RC1发布
回答:...动态风格变化的处理方式,提升响应速度。 实现 HTTP 公钥置顶扩展,强化对于加密连接的认证。 依据标准变更了 let 的语法。 实现资源时控 API(Resource Timing)。 默认启用 CSS filter 属性支持。 在 Workers 中允许使用 Web...
创业管理“指标化”:如何量化公司发展 问题:创业管理“指标化”:如何量化公司发展
回答:...管理团队势必十分清楚提高项目的唯一途径是从一开始就制定一套评估方案。好的指标不仅应该是可执行的,还应该起到激励促进成功行为的作用。在本篇文章里,我希望能帮助大家学会辨别什么样的指标最重要,以及怎样设计...
六年级班规制定要PPT跪求啊啊啊 问题:六年级班规制定要PPT跪求啊啊啊!!!
回答:我发了一份,可以吗,可以请采纳
六年级班规制定要PPT求 问题:六年级班规制定要PPT求
回答:就打开ppt,新建几个页面,输入标题和内容就可以了。
六年级班规制定要PPT 问题:六年级班规制定要PPT
回答:给你一个网址,请自行下载(软件授权:免费)。PowerPoint Viewer 2010 官方正式版 dl.pconline /download/90206
相关知识:

下面内容对您也许有用