我不清楚RFC7469(公钥固定扩展)中max-age指令的用途
我对RFC7469和HTTP公钥固定的理解是,每当客户端与服务器启动HTTPS事务时,客户端都应计算服务器证书的密码,并验证它与服务器返回的密码之一匹配。之前的交易。如果引脚不匹配,则可能发生中间人事件,并且必须拒绝连接。
我不清楚“最大年龄”指令的目的。这是RFC7469规定的:
“最大年龄”指令指定 UA应该考虑的PKP头字段的接收 主机(从其接收消息)作为已知固定主机。
这是否意味着客户应在不超过max-age到期之前更新销的本地副本?
答案 0 :(得分:0)
Max-age告诉客户端HPKP标头有效的时间。 max-age到期后,应忘记并忽略HPKP标头。但是,如果您在这段时间内重新访问该网站,则可能会获得一个新的最高年龄,并将最高年龄延长一点。
证书具有有效期,因此使HPKP标头无限期有效没有意义。也可能会意外阻止您访问网站的年龄。因此,最大年龄是必要的。
HPKP被认为是危险的(出于某些原因,请参见my blog post here),因此即使最大使用量,它也被证明对于大多数站点和Chrome for one are removing it as an option来说都是危险的。