Blocco dei certificati in un browser

2

Sto cercando di capire il blocco dei certificati.

Google ha iniziato ad aggiungere una whitelist di certificati CA che utilizzano per i loro certificati e se un certificato per un servizio Google viene emesso al di fuori di questo elenco lo negano. È semplice.

Ma diciamo che ho un sito web link come faccio a utilizzare il blocco dei certificati per migliorare la sicurezza delle connessioni HTTPS al mio server? Su qualsiasi browser e non solo su Chrome. Che tipo di messaggi vengono inviati esattamente dal server al client? Gli HTTP supportano il pinning?

    
posta user220201 10.06.2014 - 09:29
fonte

1 risposta

1

Ci sono due cose che puoi fare.

La prima cosa che dovresti esaminare è HTTP Strict Transport Security (HSTS) . Non si blocca di per sé, ma ti consente di dire a un browser di visitare sempre il tuo sito solo tramite HTTPS, per prevenire attacchi di stripping SSL.

Per quanto riguarda il blocco dei cross-browser, non esiste una soluzione solida. Tuttavia, esiste una bozza delle specifiche per un header pinning, che viene spiegato brevemente < a href="https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#HTTP_pinning"> qui . Non ho idea di quale sia il supporto del browser per questo, ma potrebbe essere adottato in futuro.

    
risposta data 10.06.2014 - 09:38
fonte