Me he dado cuenta de que muchos sitios web no implementan HPKP, aunque es fácil de implementar. ¿Hay algún inconveniente en ello?
Con HPKP puede anclar un certificado en una cadena de certificados. Esto es fácil de hacer, siempre y cuando siempre use el mismo proveedor de certificados. Por ejemplo, si siempre tiene certificados DigiCert, puede anclar el certificado raíz de DigiCert y esto le da mayor seguridad.
Pero, ¿qué pasa si DigiCert se compromete? En ese caso, necesita una clave de copia de seguridad certificado para crear un nuevo certificado, que también está permitido por HPKP. Puede elegir no hacer esto, pero luego cuando su certificado DigiCert sea revocado, los usuarios ya no podrán visitar su sitio.
Por lo tanto, HPKP tiene algunos inconvenientes:
A menos que tenga un proceso automatizado hermético para esto, no recomendaría el uso de HPKP.
Actualización: Chrome desactiva HPKP , por lo que también Parece que piensa que no funciona.
HPKP es simple y excelente siempre y cuando no renueve su clave privada. Pero si pretende cambiar su clave privada, debe declarar la nueva clave pública correspondiente max-age
antes.
No es un gran problema si tienes un max-age
corto, pero un max-age
hace que el HPKP sea un poco inútil.
Si considera que su servidor podría estar comprometido y su clave privada robada, necesita tener una (o algunas) clave (s) privada (s) disponibles en algún lugar seguro y tener las claves públicas correspondientes declaradas en HPKP. Esto es factible, pero requiere que seas muy riguroso.