HTTP公钥固定（HPKP）的实现与风险分析

知识点描述
HTTP公钥固定（HPKP）是一种安全机制，允许网站通过HTTP响应头告知浏览器必须信任特定的公钥（或证书颁发机构），从而防止攻击者使用伪造的证书进行中间人攻击。然而，HPKP因配置风险高已被弃用，但理解其原理和失败原因对学习PKI和浏览器安全策略仍有重要意义。

一、HPKP的核心原理

1. 目标：解决证书颁发机构（CA）被入侵或错误签发证书的风险。
2. 机制：
   • 网站服务器通过Public-Key-Pins响应头，将公钥哈希值（指纹）发送给浏览器。
   • 浏览器在后续访问中，只接受与固定哈希匹配的证书链（例如，网站证书或中间CA证书）。
   • 示例头格式：

     Public-Key-Pins: pin-sha256="base64=="; pin-sha256="backup=="; max-age=5184000; includeSubDomains  
     

二、HPKP的部署步骤

1. 生成公钥指纹：
   • 提取网站证书的公钥（或备用证书的公钥），计算SHA-256哈希，再Base64编码。
   • 例如使用OpenSSL命令：

     openssl x509 -in certificate.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64  
     

2. 配置响应头：
   • 至少固定两个公钥：一个当前使用，一个备用（防止主密钥丢失）。
   • 设置max-age（生效时间）和includeSubDomains（是否包含子域名）。
3. 测试模式：
   • 先使用Public-Key-Pins-Report-Only头仅报告违规而不阻塞访问，验证配置正确性。

三、HPKP的风险与弃用原因

1. 致命风险：
   • 若固定公钥丢失（如证书更换且未保留备用密钥），网站会被浏览器拒绝访问，且max-age期内无法恢复。
   • 攻击者可能通过劫持网站响应头注入恶意公钥，永久锁定用户。
2. 操作复杂性：
   • 要求管理员严格管理多个密钥的生命周期，容易因人为失误导致服务中断。
3. 替代方案：
   • Certificate Transparency（CT）：通过公开日志监控证书签发，浏览器强制要求CT记录。
   • CAA记录：通过DNS控制允许哪些CA签发域名证书。

四、总结
HPKP的失败揭示了安全机制需平衡安全性与可用性。现代Web安全更依赖CT、CAA等分布式机制，而非依赖客户端的强制固定策略。学习HPKP可帮助理解PKI信任模型的演进和防御中间人攻击的挑战。