1. 首页
2. 新闻资讯
3. 安全资讯
4. 穷途末路，Google宣布将不再支持HPKP

穷途末路，Google宣布将不再支持HPKP

发布日期：2017-10-31

近日，Google安全团队在论坛上公开宣布，由于HPKP（HTTP Public Key Pinning）普及率低和存在技术挑战，计划2018年5月发布的Chrome 67解除对HTTP公钥固定（HPKP）的支持，公告一出马上引起行业内的热议。

什么是HPKP

HPKP是HTTPS网站防止攻击者利用CA机构错误签发的证书进行中间人攻击的一种安全机制，旨在预防攻击者入侵CA偷发证书、浏览器信任的CA签发伪造证书等情况。HPKP公钥固定所携带的是中级证书或者根证书的哈希值，并与终端浏览器约定此哈希通常会在1年左右失效。

HPKP的问题所在

安全问题

参与撰写和制定该标准（RFC 7469）的谷歌工程师认为，HPKP并没有想象中的安全，甚至可以说存在极大的安全隐患。因为恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击，并且如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的CA 机构，你不能再选择新的CA 机构为你签发证书。

普及率低

在各大浏览器中，目前仅有Firefox35.0以上、Chrome46之后的版本支持HPKP。IE、Safari、Edge……都尚不支持HPKP。

根据调查，在2016年3月所有HTTPS网站部署HPKP的比率为0.09%，全球只有不到4,100个证书。到2017年8月，部署率只提高到0.4%。并且在实际应用中，这些网站中有四分之一以上是发生错误部署，从而导致有效使用HPKP的证书总数量低于3000个。

存在技术挑战

而造成这种现象的原因是：该技术尚处于萌芽期，网站技术人员对其缺乏重视和理解。更重要的是，错误的部署会为网站带来严重的后果，即用户在相当长一段时间内（取决于max-age的配置）因新证书公钥与旧HPKP策略不符，会导致用户对网站的合法访问变成拒绝访问。

以及，就算正确配置HPKP的站点可以加强网站防御力，如果攻击者获得有效证书，从未访问过网站的浏览器仍有可能会受到中间人攻击。因为HPKP与HSTS不同，HPKP并没有可用的常见预载列表。

Google证书透明度项目

为了向用户提供加密流量，网站必须先向可信的证书授权中心 (CA) 申请证书。然后，当用户尝试访问相应网站时，此证书即会被提供给浏览器以验证该网站。近年来，由于 HTTPS 证书系统存在结构性缺陷，证书以及签发证书的 CA 很容易遭到入侵和操纵。而Google 的证书透明度项目旨在通过提供一个用于监测和审核HTTPS 证书的开放式框架，来保障证书签发流程安全无误。

上一篇：性能之战：HTTPS PK HTTP

下一篇：ROCA RSA漏洞可导致各种设备密钥泄漏

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件