Fijación de certificado en un navegador

Question

Fijación de certificado en un navegador

#1 de Polynomial (1 votos)

2

Estoy tratando de entender la fijación de certificados.

Google comenzó a agregar una lista blanca de certificados de CA que usan para sus certificados y si un certificado para un servicio de Google se emite fuera de esta lista, lo niegan. Eso es sencillo.

Pero digamos que tengo un sitio web enlace ¿cómo uso la fijación de certificados para mejorar la seguridad de las conexiones HTTPS en mi servidor? En cualquier navegador y no solo en Chrome. ¿Qué tipo de mensajes se envían exactamente del servidor al cliente? ¿HTTPs soporta la fijación?

public-key-infrastructure web-browser tls certificates

pregunta user220201 10.06.2014 - 09:29

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure web-browser tls certificates

¿Cuál es el punto de EMV cuando solo se necesita la tarjeta para comprar en línea? [duplicar] GnuTLS ServerHello exploit (CVE-2014-3466): ¿cómo verificarlo?

score 1 · Answer 1

Hay dos cosas que puedes hacer.

Lo primero que debe considerar es Seguridad de transporte estricta de HTTP (HSTS) . No es un pin, per se, pero le permite indicar a un navegador que solo visite su sitio a través de HTTPS, para evitar ataques de eliminación de SSL.

En lo que respecta a la fijación de imágenes entre navegadores, no hay una solución sólida. Sin embargo, hay un borrador de especificación para un encabezado de anclaje, que se explica brevemente < a href="https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#HTTP_pinning"> here . No tengo idea de cómo es el soporte para el navegador, pero puede ser adoptado en el futuro.