我的Apache HTTPS服务器返回下面的头作为用于请求https://lab20.example.com的响应:HPKP标题不被谷歌浏览器52尊敬?
公钥-销:销-SHA256 = “klO23nT2ehFDXCfx3eHTDRESMz3asj1muO + 4aIdjiuY =”;销-SHA256 = “633lt352PKRXbOwf4xSEa1M517scpD3l5f79xMD9r9Q =”;最大年龄= 2592000; includeSubDomains
这些引脚目的无效 - 但仍然可以通过谷歌浏览器52连接到我的实验室。它看起来像HPKP不工作。我也测试过: chrome:// net-internals /#hsts - 在查询lab20.example.com之后,我确实看到了HSTS(确认工作正常),但没有HPKP - 我没有看到任何dynamic_spki_hashes。为什么?
我是否需要激活铬中的某些内容才能理解和处理HPKP标题?
感谢,
不幸的是仍然无法正常工作(经过测试的最新Chrome版本)。我创建了一个有效的sha256并应用于配置(按照文章:https://raymii.org/s/articles/HTTP_Public_Key_Pinning_Extension_HPKP.html)。然后用此值收到200响应。在那之后,chrome仍然没有从chrome:// net-internals /#hsts中显示出来 - 虽然它正确显示了hsts标题 - 我可以从文章中看到它也应该显示hpkp。为什么? – user2913139