我正在编写一个需要联机的应用程序,并且需要尽可能安全,包括受到破坏的证书颁发机构(CA)攻击。
我很信任我自己的证书颁发机构(Comodo),但我希望能够做的是设置HPKP标头,并确信如果我的证书受到损害,我至少可以回退创建一个新的魔岛
如何验证我是否正确设置了回退,而不是从Comodo购买新证书并对其进行测试?此外,根证书的轮换频率如何?似乎整个证书流程都记录在案。
我的nginx指令是(在无法化/重新格式化之后):
add_header Public-Key-Pins
'pin-sha256="my+domains+current+certificate+sha256+hash+=";
pin-sha256="grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=";
pin-sha256="lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=";
max-age=60;
includeSubDomains;
report-uri="https://example.report-uri.io/r/default/hpkp/enforce"'
always;
我可以将max-age增加到更安全的东西吗?
编辑:
looks like根证书在2020年的某个时间有效。看起来the intermediate cert也是如此。我将如何在那段时间过渡?