如果HPKP被黑客利用对HTTPS的影响

公钥固定(Public Key Pinning)「RFC7469」 可以指明在多长时间内哪些CA可以为你颁发证书,以及你只信任哪张证书。

如果黑客渗透到你的服务器,为你偷偷开启HPKP,将是一件很难被发现,但是对你网站影响非常大的事情,也许你发现时已经束手无策。

这种情况也会发生在你错误的设置HPKP或忘记维护HPKP。

HPKP摘要

一个有意思的设想

如果一家CA雇佣黑客,入侵了大量服务器,偷偷为你的HTTPS网站启用HPKP(这是一件很难被发现的操作),并设置为只信任这家CA颁发中级/根证书和你目前使用的这张证书,有效期设为多年,那么当你网站证书到期后必须在这家CA购买证书,因为你客户的浏览器只认可这家CA颁发的证书。

或者

黑客们利用HPKP来堵住你的HTTPS网站,然后使用备份的证书来敲诈你。

相关安全事件回顾

清除浏览器HSTS缓存

在Chrome地址栏打开 chrome://net-internals/#hsts  在 Delete domain 中删除要清空的域名即可。这里只是你本地缓存。

相关文章: