为 HTTPS 网站开启 HPKP（ Public Key Pinning）

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3115 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近在折腾 HPKP ，总结一下

介绍

HPKP 简单说就是在 HTTP 头中定义一组 Base64 编码的 SPKI 指纹，在支持 HPKP 的浏览器中，浏览器会先对比 HTTP 头中的 SPKI 指纹与当前证书的的实际指纹，从而可以一定程度上防止伪造证书的中间人攻击，更多请参考 https://developer.mozilla.org/en-US/docs/Web/Security/Public_Key_Pinning

语法

Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"]

要点

pin-sha256 至少要有两个，第一个必须在当前证书链中，后面的作为备份证书，必须不在当前的证书链中，也就是说你可以在后面的 pin 中用完全不存在的指纹，但会有安全隐患
你也可以 pin 中继链，这样就不用每次换证书的时候都换指纹，但如果你的 CA 的证书不是很难搞到的话这样也会有隐患（如有错误请指教）
如果需要更换 SSL 证书，需要在定义的 max-age 之前就将新证书的指纹放入备用 pin 中

指纹生成方法

# RSA key
$ openssl rsa -in my.key -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64

# ECDSA （例如 COMODO ECC ）
$ openssl ec -in my.key -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64

Nginx 设置

add_header Public-Key-Pins 'pin-sha256="ABCD"; pin-sha256="EFGI"; max-age=86400';

测试

Chrome 中打开 chrome://net-internals/#hsts ，然后请求（ query ）当前域名后，如果设置正确的话会看到类似下面的结果：

dynamic_sts_domain: ci.sparanoid.com
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: true
dynamic_sts_observed: 1443522549.33342
dynamic_pkp_domain: ci.sparanoid.com
dynamic_pkp_include_subdomains: true
dynamic_pkp_observed: 1443522549.333427
dynamic_spki_hashes: sha256/6X0iNAQtPIjXKEVcqZBwyMcRwq1yW60549axatu3oDE=,sha256/klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=

Firefox 可以在 Web Inspector 的 Network 标签查看

Qualys SSL Labs 可以在测试结果中看到（例子）

HPKP Reporting

当浏览器检测到指纹不匹配时，可以 POST 请求到一个制定的地址，这里推荐使用 RequestBin 进行调试：

add_header Public-Key-Pins-Report-Only 'pin-sha256="FAKE"; pin-sha256="EFGI"; max-age=86400; report-uri="http://requestb.in/onk0wkon"';

目前只有 Chrome 46 支持 Public-Key-Pins-Report-Only

第 1 条附言 · 2015-11-22 00:24:08 +08:00

发现一个专注于 HPKP 和 CSP 的服务： https://report-uri.io/

8 条回复 • 2015-12-06 20:49:38 +08:00

xfspace

2015-10-13 22:10:30 +08:00

然而...这些新功能特性，大公司并没用上。

sparanoid

MOD

2015-10-13 22:30:14 +08:00 via iPhone

@xfspace 然而 Google 、 GitHub 都用上了 :)

c742435

2015-10-13 23:08:55 +08:00

@sparanoid 然而用上了是不是就没办法用 fiddler 调试了

xfspace

2015-10-14 01:40:16 +08:00 via Android

@sparanoid 国内的...国外的恨不得你用新的东西，兼容旧版本是多么痛苦！

lenovo

2015-10-21 16:41:12 +08:00

@sparanoid 请问备份的 pin-sha256 怎么生成？谢谢

sparanoid

MOD

2015-10-21 18:51:34 +08:00 via iPhone

@lenovo 生成方法和第一个 pin 一样，用备用证书生成就可以了

lenovo

2015-10-21 22:40:27 +08:00

@sparanoid 多谢，用之前过期的证书生成了一个:)

ahu

2015-12-06 20:49:38 +08:00

Generating the SPKI Fingerprint 有 3 种方法：

Given the public key pub.key:

openssl rsa -pubout -in pub.key -outform der | \
openssl dgst -sha256 -binary | \
base64
Given the CSR my.csr:

openssl req -noout -in my.csr -pubkey | \
openssl rsa -pubin -outform der | \
openssl dgst -sha256 -binary | \
base64
Or given the PEM-encoded certificate certificate.pem:

openssl x509 -noout -in certificate.pem -pubkey | \
openssl rsa -pubin -outform der | \
openssl dgst -sha256 -binary | \
base64