咳咳,各位观众老爷们,晚上好!欢迎来到“网络安全那些事儿”小讲堂。今天咱们聊点稍微有点“过气网红”气质的东西,但绝对是网络安全领域里闪耀过的星星——HTTP Public Key Pinning (HPKP) 和 Certificate Transparency (证书透明)。 先别急着打哈欠,我知道HPKP已经被弃用了,但这并不妨碍我们从它的失败中学习经验。而Certificate Transparency,简称CT,虽然听起来高大上,但其实它就像一个“阳光下的秘密”,把证书颁发的过程晒出来,让坏人无处遁形。 咱们先从“爱作妖”的HPKP开始说起。 一、HPKP:理想很丰满,现实很骨感 HPKP,全称HTTP Public Key Pinning,翻译过来就是“HTTP公钥固定”。它的核心思想是:网站告诉浏览器,以后访问我的时候,只能信任特定的几个公钥。 1. HPKP的原理: 想象一下,你开了一家包子铺(你的网站),为了防止有人冒充你卖假包子,你给每位顾客发了一张“会员卡”(公钥)。这张卡上印着只有你家包子铺才有的特殊防伪标记。以后顾客来买包子,必须出示这张卡,确认身份无误才能卖给 …
继续阅读“JS `HTTP Public Key Pinning` (HPKP) (已弃用) / `Certificate Transparency` (证书透明度)”