公钥固定,这是一种https网站防止攻击者使用CA错误颁发的证书进行中间人攻击的一种安全机制,用于预防诸如攻击者入侵CA偷发证书、浏览器信任CA签发伪造证书等情况,采用该机制后服务器会提供一个公钥哈希列表,客户端在后续的通信中只接受该列表上的一个或多个公钥。
HPKP是一个响应头
其实在以前也是配置过的,但是由于那时候不懂直接把别人示例的值给部署上去了,到了最近重新学习了才知道。
以下命令将提取网站的Base64编码信息:
openssl s_client -servername www.cyzwb.com -connect www.cyzwb.com:443 | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
然后添加响应头,添加后我一开始使用的是Firefox浏览器虽然还是显示公钥固定: "已禁用"但是能正常访问,使用myssl测试也是提示已支持了。
谁知道使用Chrome浏览器访问却提示ERR_HTTP2_PROTOCOL_ERROR,使用Edge(安卓)提示ERR_SPDY_PROTOCOL_ERROR,没办法暂时删除该响应头先。。。。。。
ChiuYut
2021年9月6日