我对RFC7469(公钥固定扩展(中max-age指令的目的没有清晰的理解
我对RFC7469和HTTP公钥固定的理解是,每次客户端与服务器启动HTTPS事务时,它都应该计算服务器证书的pin,并验证它是否与服务器在上一个事务中返回的pin匹配。如果引脚不匹配,则可能发生中间人事件,必须拒绝连接。
我不清楚的是"最大年龄"指令的目的。这是RFC7469所说的:
"max-age"指令指定 接收 UA 应考虑的 PKP 标头字段 作为已知固定主机的主机(从其接收消息(。
这是否意味着客户端应在最大期限到期之前更新引脚的本地副本?
Max-age 告诉客户端 HPKP 标头的有效期。最大年龄过期后,应忘记并忽略 HPKP 标头。但是,如果您在此期间重新访问该网站,您可能会获得新的最大年龄并将最大年龄延长一点。
证书具有有效期,因此使 HPKP 标头无限期有效是没有意义的。也可以通过更新证书意外阻止对站点的访问。所以最大年龄是必要的。
HPKP被认为是危险的(有关某些原因,请参阅我的博客文章(,因此即使使用最大年龄,它也被证明对大多数网站来说太危险了,而Chrome正在将其作为一种选择删除。