網(wǎng)絡(luò)掃描設(shè)備供應(yīng)商N(yùn)etraft公司已經(jīng)發(fā)布了“一項(xiàng)非常嚴(yán)厲的批評(píng)”，斥責(zé)全球各地的系統(tǒng)管理員忽略了HTTP公共密鑰鎖定（簡(jiǎn)稱HPKP）機(jī)制。

這套鎖定方案的設(shè)計(jì)目標(biāo)在于幫助用戶抵御偽造攻擊，即攻擊者利用偽造的證書(shū)頒發(fā)機(jī)構(gòu)發(fā)布欺詐性證書(shū)。

如果攻擊者能夠?yàn)橛脩籼峁┮惶譮ubar.com的證書(shū)，他們即可偽造該站點(diǎn)，并構(gòu)建一條路徑以實(shí)現(xiàn)證書(shū)收集。

HPKP確實(shí)非常有效，但Netcraft方面強(qiáng)調(diào)稱，其只有在系統(tǒng)管理員將其應(yīng)用至服務(wù)器時(shí)才能發(fā)揮作用——但實(shí)際情況恰好相反。

“在Netcraft本月進(jìn)行的2016年SSL調(diào)查中，只有不到0.1%的證書(shū)配備有HPKP標(biāo)題頭，”這篇文章指出，并補(bǔ)充稱“即使得到部署，仍有三分之一的系統(tǒng)管理員未能正確設(shè)定HPKP策略。由于錯(cuò)誤太多，HPKP的起效門(mén)檻變得很高。”

從數(shù)字角度來(lái)看，Netcraft公司表示只有3000套證書(shū)在使用HPKP共有4100個(gè)站點(diǎn)在使用HPKP標(biāo)題頭，但有四分之一在具體實(shí)施過(guò)程中發(fā)生了錯(cuò)誤。

Netcraft公司指出，系統(tǒng)管理員避免使用該協(xié)議的最大理由在于，其雖然降低了用戶風(fēng)險(xiǎn)，但使用HPKP卻可能給企業(yè)帶來(lái)風(fēng)險(xiǎn)。系統(tǒng)管理員需要為HPKP設(shè)定生命周期策略——如果站點(diǎn)運(yùn)營(yíng)人員丟失了證書(shū)密鑰，那么其站點(diǎn)將在整個(gè)生命周期之內(nèi)都無(wú)法進(jìn)行訪問(wèn)。

目前成功搞定這項(xiàng)難題的三個(gè)安全包括：

Github采用HPKP，但將策略的生命周期設(shè)定為300秒。這就將GIthub出現(xiàn)問(wèn)題后用戶遭遇的中斷時(shí)長(zhǎng)降低到了最低水平——但攻擊者仍然擁有5分鐘的時(shí)間窗口。這樣一旦遭遇攻擊，“任何在過(guò)去五分鐘內(nèi)未能訪問(wèn)到真正www.github.com的用戶都可能成為潛在受害者”。

Mozilla則面臨著更高的風(fēng)險(xiǎn)：其站點(diǎn)的策略生命周期為15天——一旦出現(xiàn)問(wèn)題，后果將非常嚴(yán)重。

Pixabay, Netcraft指出，面臨的風(fēng)險(xiǎn)更為可觀：策略生命周期長(zhǎng)達(dá)1年，一旦失去專(zhuān)有密鑰，其業(yè)務(wù)生命也將走向終點(diǎn)。不過(guò)就過(guò)往來(lái)看，“Pixabay顯然認(rèn)為強(qiáng)大的偽造攻擊防護(hù)能力完全值得其冒如此大的風(fēng)險(xiǎn)。”