潮人地東莞seo博客小編下面跟大家分享關(guān)于seo優(yōu)化方法之:HTTPS安全協(xié)議部署之HPKP頭部署等問題,希望seo專員在做seo優(yōu)化的過程中有所幫助,內(nèi)容僅供參考���。
今天潮人地東莞seo博客和朋友們分享一下HTTPS安全協(xié)議部署之HPKP頭部署,本篇內(nèi)容轉(zhuǎn)載自百度安全指數(shù),在網(wǎng)站安全方面的學(xué)習(xí)和理解也是seo優(yōu)化當(dāng)中比較重要的內(nèi)容����。這篇內(nèi)容的seo 網(wǎng)站排名優(yōu)化正文部分如下:
HPKP作用
互聯(lián)網(wǎng)的信任機制完全依賴于CA(證書頒發(fā)機構(gòu))廠商頒發(fā)的證書����,而任意一個CA廠商都可以簽發(fā)任意一個域名的證書,導(dǎo)致攻擊者可以從CA廠商(可以參考CA廠寒亭區(qū)網(wǎng)站seo優(yōu)化排名商入侵史)開始入手。因此需要使用白名單的方式來選擇信任的CA,公鑰扎釘public key pinning技術(shù)的出現(xiàn),可以允許你強制指定簽發(fā)證書的CA,只有指定的CA為你的域名簽發(fā)的證書才能使用。
seo博客相關(guān)推薦閱讀:百度seo優(yōu)化排名:網(wǎng)站鏈接該如何優(yōu)化,鏈接優(yōu)化方法
目前該技術(shù)有三種實現(xiàn)方式�,DANE(基于DNSSEC)���、HTTP公鑰扎釘和TACK(證書密鑰可信保證)�,HTTP公鑰釘扎是使用最多的����。
HPKP部署
通過在加密的HTTP響應(yīng)中包含
Public-Key-Pins 來實現(xiàn)公鑰釘扎,例如:
全網(wǎng)部署
CA廠商入侵史
2001年1月,VerSign被社工欺騙簽發(fā)了兩張Microsoft Corporation代碼簽名證書用于在windows平臺安裝惡意軟件���。
2008年 6月,Thawte 被安全研究人員Mike Zusman發(fā)現(xiàn)可以繞過其證書所有權(quán)驗證流程,獲得login.love.com的證書,而login.love.com是Microsoft的單點登陸驗證中心,有幾百萬用戶����。
2008年10月����,StartCom被安全研究人員Mike Zusman發(fā)現(xiàn)可陽江家具網(wǎng)站seo優(yōu)化以繞過其證書所有權(quán)驗證流程�,可以為任意域名申請證書����,但由于他申請了paypal.com和verisign.com的證書觸發(fā)了StartCom高危網(wǎng)站黑名單被發(fā)現(xiàn)了此次攻擊并在幾分鐘之內(nèi)吊銷了所有非法簽發(fā)的證書。
2008年10月����,CertStart(Comodo丹麥合作伙伴)被StartCom的CEO&COO Eddy Nigg發(fā)現(xiàn)該中心可以在沒有進(jìn)行域名所有權(quán)驗證的情況下給申請者簽發(fā)任何域名的證書���,他獲得了startcom.org和mozilla.org的證書���。
2008年���,Alex Sotirov和Marc Stevens 通過使用MD5碰撞攻擊(兩張完全不一樣的證書�,但卻擁有相同的MD5散列值����,即相同的簽名),使用自己偽造的CA證書來生成任何網(wǎng)站的有效證書�,而RapidSSL由于簽發(fā)過程完全自動化加上不是采用隨機序列號導(dǎo)致整個攻擊過程順利實施����,后續(xù)他們加速將SHA1升級到SHA256來修復(fù)這個問題���。
2011年3月,Comodo多家合作簽發(fā)機構(gòu)被入侵���,導(dǎo)致Comobo頒布除非過了Comodo的驗證,否則所有代理商都不能夠簽發(fā)證書2011年6月���,StartCom 被入侵���,導(dǎo)致簽發(fā)服務(wù)暫停長達(dá)一周����。
2011年,DigiNotar(荷蘭)被完全入侵���,偽造的證書在互聯(lián)網(wǎng)上被使用,導(dǎo)致DigiNotar的根證書被吊銷�,公司2011年9月份破產(chǎn)�。
2011年11月���,DigiCert Sdn. Bhd.(馬來西亞一家與CyberTrust(Verizon)和Entrust有合作關(guān)系的中間證書頒發(fā)機構(gòu))被發(fā)現(xiàn)22張證書存在弱密鑰問題���,后續(xù)被吊銷�。
2012年5月,火焰病毒(flamer或Skywiper)針對Microsoft 的CA證書采用了MD5碰撞攻擊來攻擊windows update的代碼簽名機制���,影響了整個中東網(wǎng)絡(luò)。
2012年12月���,TURKTRUST(土耳其)由于管理失誤下發(fā)兩張二級CA證書,其中一個被用于防火墻來進(jìn)行中間人監(jiān)控�,而被google的扎釘扎技術(shù)發(fā)現(xiàn)����。
2013年12月���, ANSSI(法國的網(wǎng)絡(luò)信息安全局)頒發(fā)的二級CA證書被用于該機構(gòu)中間人監(jiān)控設(shè)備中�,而被google的釘扎技術(shù)發(fā)現(xiàn)并宣布吊銷其簽發(fā)的二級證書,并限制只能簽發(fā)法國地區(qū)域名(.fr)的證書
2014年7月����,NIC(印度國家信息中心)的二級CA(NICCA)被入侵���,偽造簽發(fā)了很多google和yahoo的域名證書,后續(xù)有問題的中間證書被吊銷����,該機構(gòu)也被停止了證書簽發(fā)�,該機構(gòu)的根證書機構(gòu)被限制只能簽發(fā)幾個印度(.in)的子域名���。
以上是潮人地東莞seo博客跟大家分享關(guān)于seo優(yōu)化方法之:HTTPS安全協(xié)議部署之HPKP頭部署等問題����,希望能對大家有所幫助,若有不足之處,請諒解���,我們大家可以一起討論關(guān)于網(wǎng)站seo優(yōu)化排名的技巧,一起學(xué)習(xí),以上內(nèi)容僅供參考。
