web-dev-qa-db-ja.com

グーグルchrome公開鍵のピン留めを殺しましたか?

Google chrome Killing public key pinning in Chrome 67(May 2018)について話している多くの記事を読んだことがあります。- こちら を参照してください。 ここ 、および ここ

しかし、私は彼らが実際に彼らの計画の引き金を引いたかどうかについての情報を見つけていません。さらに、私自身の努力では、公開鍵ピン留めサポートが最近のバージョンのChromeから削除されたかどうかを決定的に決定することができませんでした。 このページ は、Chrome 72)で削除されたことを示唆しているようですが、そのページのリンクされたディスカッションは、動的ピン留め(これはすぐに削除されることを意図しています)と静的ピン留め(これは、より長い不特定の期間サポートされ続ける可能性があります)ステータスページから、ピン留めの「種類」が削除されたかどうかはわかりません。

Chrome公開キー固定ヘッダーを無視しますか?FirefoxにOpera追従させますか?

6
Conor Mancone

HPKPはChrome 65、次に 67 で削除される予定で、実際にはv 69 で非推奨になりました。

Chrome 72には存在せず、 削除済み と表示されます。

TLS 1および1.1 非推奨 v72で。

Firefoxがそれについて議論しています here

Operaバージョン25から53は、公開鍵の固定をサポートしています。

4
Overmind

ChromiumブログのChrome 72記事 から:

HTTPベースの公開キーのピン留めを削除します

HTTPベースの公開キーのピン留め(HPKP)は、サイトの証明書チェーンに存在する1つ以上の公開キーをピン留めするHTTPヘッダーをWebサイトが送信できるようにすることを目的としています。残念ながら、これは採用率が非常に低く、証明書の誤発行に対するセキュリティを提供しますが、 サービス拒否および悪意のあるピン留め のリスクも生み出します。これらの理由により、 この機能は削除されます

HPKPは確かにChrome 72で削除されました。

2
Benoit Esnard