问题描述
我们的渗透测试团队建议在 IIS 级别为 HTTP 配置公钥固定扩展。
维基百科说这是一种已弃用的安全机制。并且大多数博客和文章都不推荐置顶,因为它涉及巨大的风险。
- https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
- https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- https://threatpost.com/google-to-ditch-public-key-pinning-in-chrome/128679/
在网站上使用 PKP 有什么好处吗?
请多多指教。
解决方法
我可以确定的是,与不使用任何证书或加密连接的网站相比,公钥固定可以使连接更安全。当 Google 首次引入 PKP 时,它被用来为网络客户端添加一层安全性。
但经过这么长时间的技术变革,出现了更安全的技术,这让PKP看起来并不完美。
通过终止连接,PKP 可以帮助保护最终用户免受中间人 (MITM) 攻击。 MITM 攻击可能发生的一种方式是,攻击者使用欺诈性证书创建欺骗性网站以获取用户的个人信息。
现在看来PKP并不安全,很少有网站使用它,甚至很多浏览器都放弃了对它的支持。我认为你的渗透测试团队知道这一点,但为什么他们坚持使用它,你需要问他们。他们可能有一些使用 PKP 的特殊原因。