Ssl
我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎?
當我設置 cronjob 以每 30 天更新 LetsEncrypt 證書時,我可以設置 Public-Key-Pins 嗎?
如果證書被更新,那麼公鑰密碼也會被更新,對嗎?
一些謹慎的話開始:
- 如果您計劃實施 HPKP,請了解您在做什麼。
- 如果您做的不正確,或者“如果發生了壞事”,這些都不受您的控制,您可能會導致您的域無法使用。
- 請務必使用不那麼重要的域或非常短的記憶體時間(例如十秒)來測試您的設置。
- 考慮一下您要固定哪些證書:根證書、中間證書、葉子證書…
- 考慮一下固定另一個(備份)證書頒發機構是否有意義,它是中間證書和您的葉證書。
- 安全總比後悔好:想想是否有必要固定另一個備份 CA / cert,擁有兩個。
- 如果這些觀點和問題對您來說聽起來“新”:在實施之前,請閱讀 HPKP 的內容以及常見的陷阱和警告。
我可以在 LetsEncrypt 中使用 Public-Key-Pins 嗎?
- 是的。
如果證書被更新,那麼公鑰密碼也會被更新,對嗎?
- 這取決於您所指的證書以及您要固定的證書。