关注网络安全
和行业未来

标签:HPKP

丧钟将至?Chrome宣布将弃用HPKP-SSL中国
SSL证书

丧钟将至?Chrome宣布将弃用HPKP

Jesdoit阅读(238)评论(0)

本文转载并翻译自Scott Helme博客。Scott Helme是英国著名网络安全研究员,在推广HPKP方面做出过不少贡献。 HTTP公钥固定或HPKP曾是一个被大家热议的标准,但近日谷歌的声明可能标志着该机制死亡的最后一刻。 Chrom...

HPKP已死续篇:如何通过撤销Pin来修复HPKP-SSL中国
SSL证书

HPKP已死续篇:如何通过撤销Pin来修复HPKP

Jesdoit阅读(205)评论(0)

本文由 Ivan Ristic 于2017年9月5日发布在ssllab博客。 差不多就在去年的今天,我宣布HPKP实际上已经死亡。我当时——现在仍然——相信,HPKP太复杂,太危险,不值得付出努力。最大的问题就在于没有足够的安全收益;绑定失...

安全机制会过于强大吗?专家指出:不应使用HPKP-SSL中国
SSL证书

安全机制会过于强大吗?专家指出:不应使用HPKP

Jesdoit阅读(225)评论(0)

HTTP公钥固定(或称为HPKP)是HTTPS最具争议的特性之一。它的设计初衷是为了抵御HTTPS所面临的最严重的威胁之一,但它也给了网站操作人员一个不可思议的强大工具,让他们可能受到意外的自我伤害。 近日关于HPKP的争论重新开始,一些领...

浅谈EV证书的作用及思考-SSL中国
SSL证书

浅谈EV证书的作用及思考

Jesdoit阅读(366)评论(0)

本文由Adam Caudill发表在其个人博客中。原文标题为Looking for value in EV Certificates。 当你搜索TLS(SSL)证书的时候会找到三种不同的类型,它们在价格和获取难度方面的差异很大。而你选择的种...

CA/B Forum批准证书颁发机构授权的提案-SSL中国
行业新闻

CA/B Forum批准证书颁发机构授权的提案

Jesdoit阅读(510)评论(0)

2013年在RFC6844中规定的证书颁发机构授权(CAA)是一项旨在改善PKI生态系统强度的提议,它通过新的控件来限定哪些CA,使之可以向特定的域名颁发证书。尽管这项关于CAA的提议已经存在了4年,但仅有100到200家网站采用了这项标准...

HPKP:炙手可热还是濒临死亡?-SSL中国
SSL证书

HPKP:炙手可热还是濒临死亡?

Jesdoit阅读(621)评论(0)

HTTP公钥固定(HPKP,见RFC7469)——一个给大家用来固定公钥的标准——也许已经死了。作为一个完全加密的、可靠的互联网支持者,我非常期待HPKP取得成功,但我担心它用起来太困难,也太危险,而且如果没有我们的维护,它什么也做不了。 ...

安全网站回避HTTP公钥固定?!-SSL中国
SSL证书

安全网站回避HTTP公钥固定?!

Jesdoit阅读(1160)评论(0)

 HTTP公钥固定 (HTTP Public Key Pinning),或称HPKP,可以防止欺诈者颁发伪造的TLS证书。尽管它能够有效抵御欺诈性证书的侵袭,而且一些浏览器一年多前就已经支持这项技术,采用它的HTTPS站点少之又少。 Net...