我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎？

當我設置 cronjob 以每 30 天更新 LetsEncrypt 證書時，我可以設置 Public-Key-Pins 嗎？

如果證書被更新，那麼公鑰密碼也會被更新，對嗎？

一些謹慎的話開始：

• 如果您計劃實施 HPKP，請了解您在做什麼。
• 如果您做的不正確，或者“如果發生了壞事”，這些都不受您的控制，您可能會導致您的域無法使用。
• 請務必使用不那麼重要的域或非常短的記憶體時間（例如十秒）來測試您的設置。
• 考慮一下您要固定哪些證書：根證書、中間證書、葉子證書…
• 考慮一下固定另一個（備份）證書頒發機構是否有意義，它是中間證書和您的葉證書。
• 安全總比後悔好：想想是否有必要固定另一個備份 CA / cert，擁有兩個。
• 如果這些觀點和問題對您來說聽起來“新”：在實施之前，請閱讀 HPKP 的內容以及常見的陷阱和警告。

我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎？

• 是的。

如果證書被更新，那麼公鑰密碼也會被更新，對嗎？

• 這取決於您所指的證書以及您要固定的證書。

引用自：https://serverfault.com/questions/788453