当前位置:首页 > seo技术分享 > 正文

HTTPS安全协议部署之HPKP头部署

今天小凯seo博客和朋友们分享一下HTTPS安全协议部署之HPKP头部署,本篇内容转载自百度安全指数,在网站安全方面的学习和理解也是seo优化当中比较重要的内容。这篇内容的正文部分如下:

HPKP作用

互联网的信任机制完全依赖于CA(证书颁发机构)厂商颁发的证书,而任意一个CA厂商都可以签发任意一个域名的证书,导致攻击者可以从CA厂商(可以参考CA厂商入侵史)开始入手。因此需要使用白名单的方式来选择信任的CA,公钥扎钉public key pinning技术的出现,可以允许你强制指定签发证书的CA,只有指定的CA为你的域名签发的证书才能使用。

目前该技术有三种实现方式,DANE(基于DNSSEC)、HTTP公钥扎钉和TACK(证书密钥可信保证),HTTP公钥钉扎是使用最多的。

HPKP部署

通过在加密的HTTP响应中包含

Public-Key-Pins 来实现公钥钉扎,例如:

HPKP头部署01

全网部署

HPKP头部署02

CA厂商入侵史

2001年1月,VerSign被社工欺骗签发了两张Microsoft Corporation代码签名证书用于在windows平台安装恶意软件。

2008年 6月,Thawte 被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,获得login.love.com的证书,而login.love.com是Microsoft的单点登陆验证中心,有几百万用户。

2008年10月,StartCom被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,可以为任意域名申请证书,但由于他申请了paypal.com和verisign.com的证书触发了StartCom高危网站黑名单被发现了此次攻击并在几分钟之内吊销了所有非法签发的证书。

2008年10月,CertStart(Comodo丹麦合作伙伴)被StartCom的CEO&COO Eddy Nigg发现该中心可以在没有进行域名所有权验证的情况下给申请者签发任何域名的证书,他获得了startcom.org和mozilla.org的证书。

2008年,Alex Sotirov和Marc Stevens 通过使用MD5碰撞攻击(两张完全不一样的证书,但却拥有相同的MD5散列值,即相同的签名),使用自己伪造的CA证书来生成任何网站的有效证书,而RapidSSL由于签发过程完全自动化加上不是采用随机序列号导致整个攻击过程顺利实施,后续他们加速将SHA1升级到SHA256来修复这个问题。

2011年3月,Comodo多家合作签发机构被入侵,导致Comobo颁布除非过了Comodo的验证,否则所有代理商都不能够签发证书2011年6月,StartCom 被入侵,导致签发服务暂停长达一周。

2011年,DigiNotar(荷兰)被完全入侵,伪造的证书在互联网上被使用,导致DigiNotar的根证书被吊销,公司2011年9月份破产。

2011年11月,DigiCert Sdn. Bhd.(马来西亚一家与CyberTrust(Verizon)和Entrust有合作关系的中间证书颁发机构)被发现22张证书存在弱密钥问题,后续被吊销。

2012年5月,火焰病毒(flamer或Skywiper)针对Microsoft 的CA证书采用了MD5碰撞攻击来攻击windows update的代码签名机制,影响了整个中东网络。

2012年12月,TURKTRUST(土耳其)由于管理失误下发两张二级CA证书,其中一个被用于防火墙来进行中间人监控,而被google的扎钉扎技术发现。

2013年12月, ANSSI(法国的网络信息安全局)颁发的二级CA证书被用于该机构中间人监控设备中,而被google的钉扎技术发现并宣布吊销其签发的二级证书,并限制只能签发法国地区域名(.fr)的证书

2014年7月,NIC(印度国家信息中心)的二级CA(NICCA)被入侵,伪造签发了很多google和yahoo的域名证书,后续有问题的中间证书被吊销,该机构也被停止了证书签发,该机构的根证书机构被限制只能签发几个印度(.in)的子域名。

评论已关闭!