Bước tới nội dung

HTTP Public Key Pinning

Bách khoa toàn thư mở Wikipedia

HTTP Public Key Pinning (HPKP hay PKP) là một cơ chế bảo mật được mô tả trong IETF RFC-7469 [1], mà các quản trị web có thể thiết lập thông qua tiêu đề HTTP trên các trang web HTTPS để chống lại những kẻ tấn công mạo danh bằng cách sử dụng chứng thực phát hành sai hoặc giả mạo. Để làm được điều này, khi người dùng kết nối tới trang web lần đầu, tiêu đề PKP sẽ cho trình duyệt của người dùng tải xuống danh sách các key công khai được tạo ra dựa trên chứng chỉ HTTPS của trang web. Khi người dùng trở lại trang web, trình duyệt sẽ lấy một trong các key đó và xác minh xem nó có phù hợp với chứng chỉ HTTPS hiện tại của trang web hay không. Nếu một kẻ tấn công cố giả mạo tên miền hợp pháp và đang sử dụng một chứng chỉ HTTPS hợp lệ, các key PKP sẽ không khớp và trình duyệt sẽ chặn người dùng xem trang web, cho rằng đó là kẻ lừa đảo hoặc giả mạo độc hại khác. [2] [3]

Tham khảo

[sửa | sửa mã nguồn]
  1. ^ “RFC 7469 - Public Key Pinning Extension for HTTP”. tools.ietf.org. Truy cập ngày 7 tháng 5 năm 2015.
  2. ^ “Key Pinning schützt vor bösartigen Zertifizierungsstellen”. Truy cập ngày 30 tháng 10 năm 2017.
  3. ^ “Chrome will HTTP Public Key Pinning wieder aufgeben”. Truy cập ngày 30 tháng 10 năm 2017.

Liên kết ngoài

[sửa | sửa mã nguồn]

Bản mẫu:TLS/SSL