Chrome团队宣布将停止支持HPKP公钥固定
极客时间编辑部
讲述:丁婵大小:1.05M时长:02:18
早些年,谷歌工程师为了提高互联网整体的安全性,避免证书颁发机构违规操作而设计了 HPKP 公钥固定标准。在此标准下, 如果网站使用的证书与固定的哈希不对应,浏览器就会拒绝连接。
公钥固定的现实意义在于,如果有 CA 证书颁发机构违规向某个域名私自签发证书,攻击者也无法实现对网站的劫持。但是现在谷歌浏览器已经决定弃用 HPKP 公钥固定标准,那么问题到底出现在哪里呢?
据了解,HPKP 公钥固定所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希通常会在一年左右失效。
如果一年后网站不再使用之前的证书,想要改换其他,就会造成实际使用证书与固定的证书哈希不同。那么浏览器就会直接拦截用户与该网站之间的连接,浏览器会认为新更换的 CA 可能是想进行恶意劫持。
安全研究员斯科特称攻击者可劫持用户访问并返回恶意 HPKP 头,这种操作并不会造成用户的数据发生泄露。但由于浏览器校验到的 HPKP 头与真实服务器不同,它会阻止用户正常访问网站。因此恶意攻击者可以利用这个漏洞,无差别地对所有 HTTPS 网站发起这种有点另类的拒绝访问攻击。
参与撰写和制定该标准(RFC 7469)的谷歌工程师称公钥固定已经变得非常可怕,该标准会对生态造成严重危害。除了恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击外,如果证书发生泄露需要进行吊销时也会引发较大问题。因为吊销旧证书后再请求签发新证书时,网站只能选择此前固定的 CA 机构,而不能再选择新的机构。
谷歌去年 8 月的数据显示,全球启用 HPKP 的站点只有 375 个,这个数字对于整个互联网来说微不足道。同时由于很多网站使用 CDN 或者如 CloudFlare 类的 DDoS 防护,此类服务本身就不准备支持 HPKP 公钥固定。最终谷歌决定,将会在 2018 年 5 月发布的 Chrome v67 版中正式弃用 HPKP,使用该标准的网站可以提前撤销固定了。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论