仅有 0.09% 的 HTTPS 站点使用了 HPKP 证书钉

一份最近的调查报告显示,HTTPS 站点中仅有 0.09% 的站点(大约 4100 个)使用了HTTP 公钥钉HTTP Public Key Pinning(HPKP)来增强其域名的 SSL/TLS 证书。

HPKP 是一个 HTTP 安全扩展,最初发布于 2015 年 4 月(RFC 7469)。该标准定义了一种避免浏览器访问到伪造证书的 HTTPS 网站方法。在浏览器访问 HTTPS 网站时,网站可以锁定浏览器所应接受的该网站的公钥列表;只有浏览器接受的证书同之前通过 HPKP 头所申明的一致时才能访问该网站。

为防止攻击者使用一个以你的域名签发的有效证书来伪造你的网站时,HPKP 很有用

这种机制可以用于防护攻击者运行一个假冒网站并使用有效证书来欺骗浏览器的攻击行为。

攻击者有几种方式可以得到有效的证书。他们可以通过对 CA 的社会工程攻击、对技术薄弱点的攻击、CA 的数据泄露、利用脆弱的证书签发策略等来得到。另外,如果攻击者本身得到了浏览器可信任的 CA 的授权,也是可以做到的。

HPKP 就是用来解决这种问题的。

HPKP 如何工作?

当网站管理人员为他的网站设置 HPKP 头时,第一次连接到该域名的用户将接收到一个包括了公钥指纹的列表,以后对该网站的访问必定使用这些公钥之一才能进行。

这些公钥存储在用户的浏览器里面,当用户再次访问该网站时,在建立 HTTPS 连接前,浏览器和服务器会确认它们都使用了正确公钥和服务器证书。如果不是,那么支持 HPKP 的浏览器会拒绝用户访问该网站。

这对于防止攻击者通过假冒网站来欺骗用户是一件好事,但是如果合法的网站配置错误的话,这会让你的用户几个月都无法访问你的网站了。

错误配置的 HPKP 会让你的用户无法访问你的网站

做这个调查的 netcraft 公司估计是因为这个原因才导致在该标准发布一年之后,HPKP 的使用率仍然很低。

支持 HPKP 除了需要不断的维护工作,还需要维护人员如踩钢丝般的细心,才能避免整站的访问被完全关闭掉。

“即使是网站管理员们设置好了有效策略,还需要时时注意:日常的维护和紧急处置都有可能造成阻挡合法访客的事故,而且会持续阻挡很长时间。” netcraft 的 Paul Mutton 解释说。

这就是为什么只有 4100 个网站的管理员们决定使用 HPKP 头的原因。不幸的是, netcraft 说,实际上这个数字只有 3000 左右,因为大约有 1/4 的网站的 HPKP 头设置不正确。

实现 HPKP 并不太复杂,只是需要很细心

积极的一面是,当网站管理员熟悉了如何管理白名单中的证书及其客户端密钥,HPKP 可以为大多数带有敏感数据的网站提供了必要的安全措施。

一些著名的服务已经实施了 HPKP ,比如 GiHub、Mozilla 和 Pixabay 等。

尽管如此,像 Lenovo Superfish 和 Dell eDellRoot 这样的丑闻中,他们在其产品中包含了根证书,可以让攻击者绕开 HPKP。此外如果攻击者可以访问用户的浏览器,也能修改浏览器的可信任公钥列表来取消 HPKP 防护,或者禁止用户访问合法网站而去访问恶意伪造的网站。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-10-12 21:17:33

仅有 0.09% 的 HTTPS 站点使用了 HPKP 证书钉的相关文章

HTTPS站点优化建议及技巧

本文转自IT摆渡网欢迎转载,请标明出处 更多文章请阅读 SEO教程 百度开放https收录,并明确表示同一域名优先收录https版,建议站长关闭http版.而早在去年谷歌已经公开表示将把https纳入搜索引擎排名的影响因素.本文内容摘选了Moz网站专栏作家Cyrus Shepard分享型文章,介绍https站点优化建议及技巧. 采用HTTPS协议对SEO有何好处? 除了安全性更高这一好处外,HTTPS对SEO也是有一定益处的. 1.使用HTTPS协议有利于搜索引擎排名 去年8月份,谷歌曾发布公告

WordPress 3.0 二级域名多站点模式设置

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 WordPress 3.0已经发布有差不多半个月了,WP3.0有个对我们来说比较实用 的功能,就是他的多站点模式.WordPress 3.0的多站点模式既可以是二级域名的形式,也可以通过目录的方式来实现.今天刚刚拿个域名捣鼓了一下子设置问题,在这里分享一下如何激活 WordPress 3.0二级域名多站点模式和其中的一些配置问题. WordP

按美国通用会计准则(GAAP)计算,久邦数码第四财季每股收益将达0.09元

久邦数码 (Nasdaq: GOMO )今天公布了截至12月31日的2013财年第四季度及全年财报.报告显示,久邦数码第四季度总营收为人民币9890万元(约合1630万美元),比去年同期的人民币6050万元增长63.5%:净利润为人民币3080万元(约合510万美元),比去年同期的人民币1750万元增长76.4%. 久邦数码2013财年总营收为人民币3.288亿元(约合5430万美元),比2012财年的人民币1.852亿元增长77.5%:净利润为人民币9180万元(约合1520万美元),比201

各位大虾们,谁有“Jc Does TEXAS”德克萨斯特技1.0.09版激活码

问题描述 各位大虾们,谁有三星手机的"JcDoesTEXAS"德克萨斯特技1.0.09版激活码,我付费却回复说掌上万钧公司的服务取消了,解不了锁,郁闷中. 解决方案 解决方案二:买啊,老是找免费的怎么行解决方案三:买不到就卸载,一了百了解决方案四:卸载不了就格机...

仅重0.6L云悦mini2主机更有料

仅重0.7L的台式主机云悦mini曾掀起京东迷你PC销售热潮,创下500台被火速抢光盛况.如今,云悦mini再度瘦身,升级版云悦mini2以0.6L轻盈体态,更有料内涵强势来袭,刷新广大 网友迷你PC新认知.大数据显示"在京东,每卖出两台mini主机,就有一台是云悦mini",买家评价"小的像笔记本一样,性能不错,时尚美观,不占空间,无噪音,非常赞的一款机器!"一代云悦mini获买家98%好评,在京东商城人气火爆.而升级版的云悦mini2体积再降一级,搭载四核英特尔

收评:深强沪弱再现沪指尾盘翻红收涨0.09%

今日早盘两市涨跌互现,沪指低开后下探3400点支撑,后在钢铁有色带动下震荡回升,收复3400点.午后资源股跳水拖累指数,沪指再次失守3400点,地产板块的回升使得沪指再次站回3400上方,此后一直绿盘震荡,尾盘上冲以红盘报收,收于3438.37点,涨6.16点,涨幅为0.09%,成交2467亿元,深成指今日走势强于沪市,早盘探底之后一直保持红盘运行,最终报收于13836.66点,涨93.25点,涨幅为0.68%,成交1309亿元.两市成交较昨日有所放大. 盘面上,上涨个股超过下跌个股,多数板块也

印度电商:仅有0.1%能获得风险投资

老虎环球基金和Accel合伙公司,这两家曾经参与过Facebook早期投资的投资公司,正在对印度的电商市场的爆发下赌注.不过,他们似乎还需要很多耐心.印度的消费者不习惯使用信用卡,期盼商家的巨大优惠,而且很少甚至几乎没有在线支付的习惯.并不完善的物流系统也意味着在线零售商们不得不承担自建物流的巨大费用.据新德里咨询公司Technopak Advisors Pvt的统计,印度电商销售占社会零售总额仅为0.1%,而这个数据在中国为3.8%,而在美国达8%.尽管如此,老虎环球基金.Accel合伙公司还

欧智华:中国储蓄十年来收益率仅为0.3%

3月21日消息,汇丰集团首席执行官欧智华今日在参加"中国发展高层论坛"时表示,过去十年来,中国家庭储蓄的实际收益率仅为0.3%,建议中国拓宽投资渠道. 欧智华认为,随着财富不断增长和人口老龄化的加速发展,人们对长期理财方案的需求将与日俱增,以满足在医疗.教育和退休方面的需求.而目前中国老百姓的投资渠道比较单一,中国家庭将65%的财富存在银行,而过去十年来,实际收益率仅为0.3%.在他看来,允许老百姓投资外国资产将是发展多元化投资渠道的重要一步. 中国的贸易顺差现在在更多的投向海外市场,

李杰:截止去年底光大银行房贷不良率仅为0.8%

8月9日下午消息 光大银行A股IPO网络路演今日下午举行.光大银行副行长李杰表示,光大银行房贷风险可控,截至2009年底,房地产贷款的不良率仅为0.8% 李杰在回答投资者提问时表示,该行房地产贷款的风险是可控的. 一是,房地产贷款结构配置稳健.大部分为抵质押物齐备.期限较短.现金流较为充裕的土地储备及园区贷款和房地产企业经营性物业抵押贷款.截至2009年底,风险相对较小的土地储备及园区贷款和经营性物业抵押贷款占整个房地产贷款的比例超过60%,而真正的房地产开发贷款仅占房地产贷款总额的30%,占贷