Public-Key-Pins

优质
小牛编辑
131浏览
2023-12-01

HTTP Public-Key-Pins响应头将特定的加密公钥与特定的 Web 服务器相关联,以降低伪造证书对 MITM 攻击的风险。如果一个或多个密钥被固定并且服务器不使用任何密钥,则浏览器将不会接受该合法的响应,并且不会显示它。

有关更多信息,请参阅 HTTP 公用密钥固定文章。

Header type

Response header

Forbidden header name

no

句法

Public-Key-Pins: pin-sha256="<pin-value>"; 
                 max-age=<expire-time>; 
                 includeSubDomains; 
                 report-uri="<uri>"

指令

pin-sha256="<pin-value>"引用的字符串是 Base64 编码的主题公钥信息(SPKI)指纹。可以为不同的公钥指定多个引脚。一些浏览器可能会在将来允许其他散列算法而不是 SHA-256。max-age = <expire-time> 浏览器应该记住,该站点只能使用其中一个定义的键来访问的时间,以秒为单位。includeSubDomains可选如果指定了此可选参数,则此规则也适用于所有网站的子域。report-uri="<uri>"可选如果指定了此可选参数,则将引脚验证失败报告给给定的 URL。

如果使用不当,HPKP 可能会长时间锁定用户!建议使用备份证书和/或固定 CA 证书。

Public-Key-Pins: 
  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs="; 
  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE="; 
  max-age=5184000; includeSubDomains; 
  report-uri="https://www.example.org/hpkp-report"

在本例中,pin-sha256 =“cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2 + soZS7sWs =”固定生产中使用的服务器公钥。第二个引脚声明pin-sha256 =“M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE =”也引脚备份密钥。max-age = 5184000告诉客户将这些信息存储两个月,根据IETF RFC这是一个合理的时间限制。此关键固定也适用于所有子域,这由includeSubDomains声明告知。最后,report-uri =“ https://www.example.org/hpkp-report说明报告引脚验证失败的位置。

产品规格

Specification

Title

RFC 7469, section 2.1: Public-Key-Pins

Public Key Pinning Extension for HTTP

Feature

Chrome

Firefox

Edge

Internet Explorer

Opera

Safari

Basic Support

(Yes)

35.0

(No)1

?

(Yes)

?

report-uri

46

(No)2

?

?

33

?

Feature

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

Basic Support

(Yes)

(Yes)

?

35.0

?

(Yes)

?

report-uri

(Yes)

(Yes)

?

(No)

?

33

?

  • Under consideration 未来发布。
  • 参见 Bugzilla 错误 1091176。