HTTP Public Key Pinning
Bài viết này cần thêm liên kết tới các bài bách khoa khác để trở thành một phần của bách khoa toàn thư trực tuyến Wikipedia. (tháng 7 2018) |
Bài viết này là một bài mồ côi vì không có bài viết khác liên kết đến nó. Vui lòng tạo liên kết đến bài này từ các bài viết liên quan; có thể thử dùng công cụ tìm liên kết. (tháng 7 2018) |
HTTP Public Key Pinning (HPKP hay PKP) là một cơ chế bảo mật được mô tả trong IETF RFC-7469 [1], mà các quản trị web có thể thiết lập thông qua tiêu đề HTTP trên các trang web HTTPS để chống lại những kẻ tấn công mạo danh bằng cách sử dụng chứng thực phát hành sai hoặc giả mạo. Để làm được điều này, khi người dùng kết nối tới trang web lần đầu, tiêu đề PKP sẽ cho trình duyệt của người dùng tải xuống danh sách các key công khai được tạo ra dựa trên chứng chỉ HTTPS của trang web. Khi người dùng trở lại trang web, trình duyệt sẽ lấy một trong các key đó và xác minh xem nó có phù hợp với chứng chỉ HTTPS hiện tại của trang web hay không. Nếu một kẻ tấn công cố giả mạo tên miền hợp pháp và đang sử dụng một chứng chỉ HTTPS hợp lệ, các key PKP sẽ không khớp và trình duyệt sẽ chặn người dùng xem trang web, cho rằng đó là kẻ lừa đảo hoặc giả mạo độc hại khác. [2] [3]
Tham khảo
[sửa | sửa mã nguồn]- ^ “RFC 7469 - Public Key Pinning Extension for HTTP”. tools.ietf.org. Truy cập ngày 7 tháng 5 năm 2015.
- ^ “Key Pinning schützt vor bösartigen Zertifizierungsstellen”. Truy cập ngày 30 tháng 10 năm 2017.
- ^ “Chrome will HTTP Public Key Pinning wieder aufgeben”. Truy cập ngày 30 tháng 10 năm 2017.
Liên kết ngoài
[sửa | sửa mã nguồn]- Online browser HSTS and Public Key Pinning test
- JavaScript Public-Key-Pins (HPKP) calculator
- Article about the very beginning of HPKP
- Public Key Pinning Extension for HTTP (HPKP) article on Mozilla Developer Network
- HPKP Violation Reporting
- HPKP Policy Analyser Lưu trữ 2017-03-05 tại Wayback Machine
- HPKP Hash Generator (URL) Lưu trữ 2017-03-05 tại Wayback Machine
- HPKP Hash Generator (PEM) Lưu trữ 2017-03-13 tại Wayback Machine