V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
billchenchina
V2EX  ›  奇思妙想

一个想法:为什么现在有 HSTS Preload,但没有 Preload Cert?

  •  
  •   billchenchina · 2018-06-30 15:45:58 +08:00 · 2400 次点击
    这是一个创建于 2339 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才看了看关于 HSTS 的资料,突然有这么个想法:

    如果说 preload 是为了防止中间人,硬编码到浏览器里的,那么为什么没有 preload 证书这种东西,能够在获取证书的时候就知道某个站点 preload (而且这样的话就可以不硬编码了)?

    6 条回复    2018-07-01 15:01:19 +08:00
    xupefei
        1
    xupefei  
       2018-06-30 16:04:29 +08:00 via Android
    Http 头里不就有参数干这个么
    isCyan
        2
    isCyan  
       2018-06-30 16:08:27 +08:00   ❤️ 2
    preload 证书是证书对吧
    传送证书就是使用 https 协议对吧
    那么用户使用 http 协议的话,你的 preload 证书根本发送不到浏览器
    那么如果加上 http to https 的跳转,引导用户使用 https
    攻击者就可以劫持这个跳转请求,也就是唯一的使用 http 协议的请求,阻止跳转到 https 或者干别的事情
    所以没有任何用
    billchenchina
        3
    billchenchina  
    OP
       2018-06-30 16:17:34 +08:00 via Android
    @isCyan

    哦...刚才自己智障了...感谢回复。。

    (结贴)
    SingeeKing
        4
    SingeeKing  
       2018-06-30 16:22:06 +08:00
    「在获取证书的时候就知道某个站点 preload 」

    这不就是 HSTS 头吗。。。
    jsq2627
        5
    jsq2627  
       2018-06-30 21:33:09 +08:00
    HPKP?
    RqPS6rhmP3Nyn3Tm
        6
    RqPS6rhmP3Nyn3Tm  
       2018-07-01 15:01:19 +08:00 via iPhone
    根证书都是内置的,没啥用
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2523 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:29 · PVG 08:29 · LAX 16:29 · JFK 19:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.