Tag Archives: hpkp

HPKP 遇到的阻礙

關於 HPKP,可以參考「HTTP Public Key Pinning 介绍」這篇介紹,寫得很清楚。 HPKP 是解決 CA 架構錯發憑證的方案 (無論是無意或是故意),像是最近吵的比較熱的 WoSign 發出 GitHub 的憑證的問題就可以用 HPKP 解。 原理上來說,就是在 HTTP header 裡面指出這個站台所允許的 Root CA 有哪些。所以跟 HSTS 一樣是走 Trust On First Use 架構,當 client 第一次連上的時候會記下資訊,之後就可以使用這個資訊來驗證。 但 HPKP 與 HSTS 不同的地方在於,HSTS 只是個 Yes/No … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , | 1 Comment

HPKP (HTTP Public Key Pinning) 常見的錯誤

Netcraft 因為有一套系統在觀察整個 internet 的架構,有時後會整理出一些有趣的東西,像是這次整理出來的 HPKP,就找出很多設定上的錯誤:「HTTP Public Key Pinning: You’re doing it wrong!」。 抓了一下列出來哪些: Zero max-age:這個 XDDD Wrong pin directives:沒寫 pin-sha256,包括寫成 pin-sha512 (RFC 不支援)、pin-sha1 (RFC 也是不支援)、pin-sha (RFC 還是不支援)、pin-sha245 (按歪了 XDDD)、ping-sha256 (XDDD)。 Only one pinned public key:HPKP 規定要有兩個 pinned public key。 No … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , | 1 Comment

Firefox 也要支援 Public Key Pinning Extension for HTTP

在「Mozilla to Support Key Pinning in Firefox 32」看到的新聞,目前的標準還是 draft:「Public Key Pinning Extension for HTTP」。 被簡稱 PKP 與 HPKP:(一般比較常用前者) We call this "public key pinning" (PKP); in particular, this document describes HTTP-based public key pinning (HPKP). 可以看到 Google Chrome 程式碼裡面是怎麼使用 PKP … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , , , , | Leave a comment