Ssl

我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎?

  • January 26, 2017

當我設置 cronjob 以每 30 天更新 LetsEncrypt 證書時,我可以設置 Public-Key-Pins 嗎?

如果證書被更新,那麼公鑰密碼也會被更新,對嗎?

一些謹慎的話開始:

  • 如果您計劃實施 HPKP,請了解您在做什麼。
  • 如果您做的不正確,或者“如果發生了壞事”,這些都不受您的控制,您可能會導致您的域無法使用。
  • 請務必使用不那麼重要的域或非常短的記憶體時間(例如十秒)來測試您的設置。
  • 考慮一下您要固定哪些證書:根證書、中間證書、葉子證書…
  • 考慮一下固定另一個(備份)證書頒發機構是否有意義,它是中間證書和您的葉證書。
  • 安全總比後悔好:想想是否有必要固定另一個備份 CA / cert,擁有兩個。
  • 如果這些觀點和問題對您來說聽起來“新”:在實施之前,請閱讀 HPKP 的內容以及常見的陷阱和警告。

我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎?

  • 是的。

如果證書被更新,那麼公鑰密碼也會被更新,對嗎?

  • 這取決於您所指的證書以及您要固定的證書。

引用自:https://serverfault.com/questions/788453