来自 网络 2021-04-08 09:09 的文章

防御流量攻击_公司_棋牌游戏被打

防御流量攻击_公司_棋牌游戏被打

去年,几乎就在那天,我宣布HPKP实际上已经死亡。我当时就相信,现在我仍然相信HPKP太复杂,太危险了,不值得付出努力。最大的问题在于没有足够的安全余量;固定故障总是灾难性的。这一直困扰着我,我想知道是否有可能在不从头开始的情况下修复HPKP。这就是这篇博文关于。如果你还没读过我去年的博文,我建议你现在就读,因为这样会使讨论更容易理解。我会耐心地等你,直到你来回来。今天我正在探索通过引入pin撤销来修复HPKP的可能性,这将在紧急情况下使用。请注意,尽管我将尝试从技术角度保存HPKP,但我并不一定声明HPKP值得保存。PKI的格局已经改变,今天我们有了证书透明性(CT),它解决了HPKP应该解决的一组问题,还有证书颁发机构授权(CAA),它解决了另一组问题。有人可能会说,在CT和CAA之间,考虑到HPKP的复杂性,可能没有足够的工作留给HPKP去做。我将把讨论留到别的时间。现在,让我们尝试让HPKP更强大的挑战可接受的。假设工作假设是,任何不能从操作员错误中恢复的技术都注定会失败。以HPKP为例,可以想象,锁定失败可能意味着完全的业务失败,那么为什么有人要使用这种脆弱的技术呢?如果我们能够用一种消除或显著减少业务的安全机制来扩展HPKP,也许仍然有可能拯救HPKP风险。但是,我不认为这是我们唯一需要做的事情。Pin撤销不是免费的。根据设计的不同,它可以进一步增加HPKP的复杂性。例如,一种设计方法可以是引入一个特殊的撤销密钥,但这只意味着您有一个输了。然后呢还有一个问题是,要说服浏览器厂商HPKP值得修复,而且他们不应该把它扔掉。供应商不会喜欢任何没有clear就添加大量新代码的解决方案好处。最后,任何需要对服务器端进行任何修改或对TLS协议进行更改的建议都是不可能的。不太可能有一大群人对修复HPKP感兴趣,从而投入足够的时间来实现这种方法工作。可以我们找到了一种能满足这些标准的方法?使用OCSP进行引脚反转也许我们可以,而且我们不必看得太远。在PKI中,我们已经有了OCSP,一种用于实时检查证书状态的撤销检查机制。即使OCSP实际上不再用于其预期目的,也许我们可以利用它来撤销HPKP pin?我的建议很简单:我们没有将pin作为单独的标识来处理,而是将每个pin的生存期链接到用于访问web站点的leaf证书的生存期。我们称之为公钥固定变体HPKPbis.下正常情况下,hpkbis的外观和感觉都与HPKP相同。如果你的操作程序没有失败,一切都会完全一样。Pin撤销只有在需要修复一个巨大的混乱时才会生效,你的网站在很长一段时间内变得不可用。要恢复,只需吊销证书。这反过来又会撤销你的个人识别码,你的用户可以继续,在线ddos防御,在大多数情况下,不知道问题.hpkbis实现细节在本节中,我将尝试更详细地说明hpkbis将如何准确地工作。与PKI中的其他所有内容一样,细节是魔鬼。要理解这一部分,您需要熟悉RFC 7469中指定的HPKP以下:引脚是在无错误连接上第一次观察到它们时激活。用户代理必须存储观察到的pin以及足够的信息,以便将来验证整个证书链。激活pin的另一个要求是,叶证书包括OCSP吊销信息。一次已为主机名启用固定,在后续访问中,至少有一个完全或部分激活的pin必须与所提供的证书匹配链子。那里是两种类型的pin激活。完全激活是指在无错误连接上观察到匹配证书(公钥)。当观察到一个pin(即,它在HTTP响应头中发送)时发生部分激活,但在证书中还看不到它。这两种类型的pin都有效,但它们具有不同的安全属性。如果部分激活的pin与在无错误连接上收到的证书匹配,北京高防cdn,则会将其升级为完全激活。升级发生时,与早期证书链的链接是拆下。销生存期与激活时显示的证书链的生存期不可分割地链接在一起。因为我们固定公钥而不是证书,所以一个pin可能链接到多个证书链。如果一个管脚的所有链接链都已过期,则认为该管脚已过期。类似地,如果一个pin的所有链接链都已被撤销,则认为该pin被撤销。与标准HPKP一样,pin的最长生存期受公布策略的限制持续时间。期间正常操作,不检查PIN是否吊销。但是,如果试图访问固定的站点,而返回的证书链不匹配,则用户代理将尝试断开已知的pin。循环访问存储的固定信息;每当发现证书链过期或被吊销时,ddos防御服务器搭建,所有相应的pin(完全激活和部分激活)都被视为无效。在这个过程结束时,cc防御多少ip每小时,如果没有有效的pin,用户代理将继续访问web现场。叶通过OCSP检查证书是否吊销。在此过程中,用户代理不能容忍OCSP响应程序故障。如果无法获取给定证书的吊销信息,则用户代理必须假定该证书仍然有效。中间如果信息可用,可以通过OCSP检查证书。或者,我们可以假设中间产物可以使用现有的供应商专有技术撤销机制。部分-激活的pin用于允许备份证书链的部署,例如在失去对主键材料的控制之后。高级操作员可以选择将部分激活的PIN升级到完整状态,例如通过定期旋转其证书链基础部署ScenariosLet考虑如何在练习:和来自两个或两个以上公共密钥的hpca证书链应该来自不同的证书链。这种方法避免了失败。就像使用HPKP,失去对一个pin(证书)的控制的操作员可以使用其中一个备份证书。剩下的完全或部分激活的引脚可以用来保持网站在线。安失去对所有pin控制的操作员可以通过撤销与它们相关联的所有证书来恢复。在最坏的情况下,如果不存在证书的记录,内网ddos怎么防御,则可以从证书透明度中恢复它们日志。如果钉扎是无意或恶意激活的,站点操作员可以通过跟踪CT日志中的所有固定证书并吊销它们来恢复。具有有效但欺诈性证书的MITM无法模拟固定的站点,因为它们的证书链与已固定的证书链不匹配。在这种情况下,当用户代理出现不匹配链时,使用OCSP来验证pin状态。如果它们接收到"仍然有效"的响应,或者如果它们未能到达OCSP,则关闭失败反应者。比较关于HPKP/RFC 7469,与RFC 7469中定义的HPKP当前版本相比,撤销的HPKP提案如何?积极的一面:它可以从配置错误和恶意固定导致的固定失败中恢复差不多。那个HPKP工作流在没有固定的情况下保持不变失败。在那里在没有固定的情况下不会影响性能失败。否定:pin撤销的可靠性和性能取决于所选CA的OCSP的质量 基础设施。你的所选CA具有撤销PIN的能力,无论是由于错误还是由于对手。讨论hpkbis的优点都是很好很清楚的,但是让我们更详细地看看它的缺点。出现了两个问题,第一个问题是OCSP基础设施对任务的适用性,第二个问题是未经授权的pin的风险吊销.OCSP基础设施的可靠性传统上,OCSP以不可靠著称。我们看到最近CAs向用于OCSP响应传递的CDN过渡有了很大的改进,但是很多人仍然对此感到紧张。问题是这样的:当您确实需要pin撤销来完美地工作时,您的CA的OCSP响应程序是否可用,它们是否会承担负载?好消息是,网站运营商会积极选择与哪些CA合作,这意味着,通过选择在维护高可用性撤销方面有可靠记录的CA,可以大大降低风险基础设施。或者-正如理查德·巴恩斯(richardbarnes)向我指出的那样,可以重新利用OCSP装订来传输pin撤销信息。目前有一个(很少使用)TLS扩展,它支持传输多个装订的OCSP响应。在一个部署场景中,可以使用一个OCSP响应来证明当前证书的新鲜性,并使用附加的订书OCSP响应来撤销之前的所有证书别针。从技术上讲,这是可行的。使用OCSP装订来撤销HPKP管脚的优点是可以将pin撤销信息可靠地传递给最终用户。另一方面,与On不同