定期将公钥 - 引脚(HPKP)的最大年龄设置为有效1或2年(以秒为单位)。如果您在SSL用完SSL证书之前进行了更改,那么访问者仍然拥有旧证书的Public-Key-Pin?
应该在没有访问者与浏览器有关的情况下完成。
答案 0 :(得分:1)
重要区别:公钥固定固定公钥,而不是证书。证书包含公钥,但还包含来自证书颁发机构的公钥(和关联的元数据)的签名。
我如何使用HPKP:
这给了我两个备份。我把它们都保存在加密存储器上;一个人留在我的身上,另一个留在保险箱里。
其他人固定来自多个证书颁发机构的中间证书。
此外,最长两个月就足够了。攻击者还具有证书透明度(以及具有HTTPS Everywhere扩展的用户的SSL Observatory)以应对。