只有0.1%的用户能正确处理Web服务器安全那点儿事

网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”，斥责全球各地的系统管理员忽略了HTTP公共密钥锁定（简称HPKP）机制。

这套锁定方案的设计目标在于帮助用户抵御伪造攻击，即攻击者利用伪造的证书颁发机构发布欺诈性证书。

如果攻击者能够为用户提供一套fubar.com的证书，他们即可伪造该站点，并构建一条路径以实现证书收集。

HPKP确实非常有效，但Netcraft方面强调称，其只有在系统管理员将其应用至服务器时才能发挥作用——但实际情况恰好相反。

“在Netcraft本月进行的2016年SSL调查中，只有不到0.1%的证书配备有HPKP标题头，”这篇文章指出，并补充称“即使得到部署，仍有三分之一的系统管理员未能正确设定HPKP策略。由于错误太多，HPKP的起效门槛变得很高。”

从数字角度来看，Netcraft公司表示只有3000套证书在使用HPKP共有4100个站点在使用HPKP标题头，但有四分之一在具体实施过程中发生了错误。

Netcraft公司指出，系统管理员避免使用该协议的最大理由在于，其虽然降低了用户风险，但使用HPKP却可能给企业带来风险。系统管理员需要为HPKP设定生命周期策略——如果站点运营人员丢失了证书密钥，那么其站点将在整个生命周期之内都无法进行访问。

目前成功搞定这项难题的三个安全包括：

• Github采用HPKP，但将策略的生命周期设定为300秒。这就将GIthub出现问题后用户遭遇的中断时长降低到了最低水平——但攻击者仍然拥有5分钟的时间窗口。这样一旦遭遇攻击，“任何在过去五分钟内未能访问到真正www.github.com的用户都可能成为潜在受害者”。
• Mozilla则面临着更高的风险：其站点的策略生命周期为15天——一旦出现问题，后果将非常严重。
• Pixabay, Netcraft指出，面临的风险更为可观：策略生命周期长达1年，一旦失去专有密钥，其业务生命也将走向终点。不过就过往来看，“Pixabay显然认为强大的伪造攻击防护能力完全值得其冒如此大的风险。”