谷歌浏览器是否杀死了公钥固定?

信息安全 证书 铬合金 火狐
2021-08-13 10:01:04

我读过很多关于谷歌浏览器在 Chrome 67(2018 年 5 月)中杀死公钥固定的文章。这里这里这里

但是,我没有找到任何关于他们是否真的扣动了他们计划的扳机的信息。此外,在我自己的努力中,我无法最终确定是否已从最新版本的 Chrome 中删除了公钥固定支持。 此页面似乎表明它已在 Chrome 72 中删除,但该页面上的链接讨论区分了动态固定(旨在立即删除)和静态固定(可能会继续支持更长且未指定的时间段) )。从状态页面我不清楚删除了哪种“固定”。

那么最新版本的 Chrome 是否会忽略公钥固定标头?Firefox 或 Opera 有跟风吗?

2个回答

有两种类型的固定 - 公钥固定 (PKP) 和 PKP over HTTP (HPKP)。PKP 活得很好;正如 Benoit E 在对另一个答案的评论中指出的那样,可以使用badssl pinning test 测试浏览器。

HPKP 计划在 Chrome 65 中删除,然后在67中删除,实际上在 v 69中已弃用。

它不再存在于 Chrome 72 中并显示为removed,就像您发现的一样。

TLS 1 和 1.1在 v72中也已弃用。

Firefox在这里对此进行了辩论

Opera版本 25 到 53 支持公钥固定。

来自Chromium 博客上的 Chrome 72 文章

删除基于 HTTP 的公钥固定

基于 HTTP 的公钥固定 (HPKP) 旨在允许网站发送一个 HTTP 标头,该标头固定网站证书链中存在的一个或多个公钥。不幸的是,它的采用率很低,虽然它提供了防止证书错误颁发的安全性,但它也产生了拒绝服务和恶意锁定的风险。由于这些原因,此功能正在被删除

在 Chrome 72 中确实删除了 HPKP。

其它你可能感兴趣的问题
上一篇当源站服务器接受直接连接时,CDN 如何真正防止 DDoS 攻击? 下一篇为什么 WhatsApp 不加密 Google Drive 备份?