这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
一个想法:为什么现在有 HSTS Preload,但没有 Preload Cert?
billchenchina · 2018-06-30 15:45:58 +08:00 · 2239 次点击这是一个创建于 2125 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚才看了看关于 HSTS 的资料,突然有这么个想法:
如果说 preload 是为了防止中间人,硬编码到浏览器里的,那么为什么没有 preload 证书这种东西,能够在获取证书的时候就知道某个站点 preload (而且这样的话就可以不硬编码了)?
 |
1
xupefei 2018-06-30 16:04:29 +08:00 via Android
Http 头里不就有参数干这个么
|
 |
2
isCyan 2018-06-30 16:08:27 +08:00  2
preload 证书是证书对吧
传送证书就是使用 https 协议对吧 那么用户使用 http 协议的话,你的 preload 证书根本发送不到浏览器 那么如果加上 http to https 的跳转,引导用户使用 https 攻击者就可以劫持这个跳转请求,也就是唯一的使用 http 协议的请求,阻止跳转到 https 或者干别的事情 所以没有任何用 |
 |
3
billchenchina OP |
 |
4
SingeeKing 2018-06-30 16:22:06 +08:00
「在获取证书的时候就知道某个站点 preload 」
这不就是 HSTS 头吗。。。 |
 |
5
jsq2627 2018-06-30 21:33:09 +08:00
HPKP?
|
 |
6
RqPS6rhmP3Nyn3Tm 2018-07-01 15:01:19 +08:00 via iPhone
根证书都是内置的,没啥用
|
Select Language