HPKP para certificados autofirmados

5

En enlace ,

y enlace en el primer cuadro amarillo,

dice que Google Chrome y Firefox deshabilitan la validación de pin para los hosts (servidores) que usan un certificado autofirmado. El servidor al que me estoy conectando usa un certificado autofirmado en el que confío al agregar la autoridad de creación propia que lo firmó como confiable en la configuración de HTTPS / SSL de Google Chrome. ¿Hay alguna forma de verificar que el certificado que se me presenta es realmente del servidor y no de un atacante que usa un certificado firmado por alguna otra autoridad confiable (una pirateada, por ejemplo, como en el escándalo DigiNotar)?

    
pregunta peter 09.05.2017 - 14:53
fuente

1 respuesta

2

Tienes dos soluciones:

  • Use HPKP y un certificado de confianza

  • Mantenga su CA personalizada y use el complemento de Firefox "Certificate Patrol": enlace

respondido por el Tom 09.05.2017 - 15:31
fuente

Lea otras preguntas en las etiquetas