Blocco dei certificati in un browser

Question

Blocco dei certificati in un browser

#1 da (1 voti)

2

Sto cercando di capire il blocco dei certificati.

Google ha iniziato ad aggiungere una whitelist di certificati CA che utilizzano per i loro certificati e se un certificato per un servizio Google viene emesso al di fuori di questo elenco lo negano. È semplice.

Ma diciamo che ho un sito web link come faccio a utilizzare il blocco dei certificati per migliorare la sicurezza delle connessioni HTTPS al mio server? Su qualsiasi browser e non solo su Chrome. Che tipo di messaggi vengono inviati esattamente dal server al client? Gli HTTP supportano il pinning?

web-browser public-key-infrastructure tls certificates

posta user220201 10.06.2014 - 09:29

fonte

1 risposta

Leggi altre domande sui tag web-browser public-key-infrastructure tls certificates

Qual è il punto di EMV quando è necessaria solo la carta per effettuare acquisti online? [duplicare] Modalità debug per un'applicazione ma rimossa in produzione

score 1 · Answer 1

Ci sono due cose che puoi fare.

La prima cosa che dovresti esaminare è HTTP Strict Transport Security (HSTS) . Non si blocca di per sé, ma ti consente di dire a un browser di visitare sempre il tuo sito solo tramite HTTPS, per prevenire attacchi di stripping SSL.

Per quanto riguarda il blocco dei cross-browser, non esiste una soluzione solida. Tuttavia, esiste una bozza delle specifiche per un header pinning, che viene spiegato brevemente < a href="https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning#HTTP_pinning"> qui . Non ho idea di quale sia il supporto del browser per questo, ma potrebbe essere adottato in futuro.