{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "Копытов Иван: заметки с тегом pin-sha256б", "_rss_description": "Блог ленивого сисадмина", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/kini24.ru\/tags\/pin-sha256b\/", "feed_url": "https:\/\/kini24.ru\/tags\/pin-sha256b\/json\/", "icon": false, "authors": [ { "name": "Копытов Иван", "url": "https:\/\/kini24.ru\/", "avatar": false } ], "items": [ { "id": "5", "url": "https:\/\/kini24.ru\/all\/zaschita-sayta-pri-pomoschi-http-public-key-pinning-hpkp\/", "title": "Защита сайта при помощи HTTP Public Key Pinning (HPKP)", "content_html": "

Данная технология призвана защитить посетителя вашего сайта от атаки типа MITM (Man in the middle, человек посередине). Иными словами посетитель может быть уверен, что данные, которые он получает, исходят с вашего сайта, а не с какого-то другого.<\/p>\n

Суть технологии состоит в создании публичного ключа на основе сертификата, который установлен на вашем сайте. Соответственно, чтобы она работала, требуется валидный сертификат. Впрочем, она будет работать и на самоподписанных (self-signed) сертификатах. Полученный на основе вашего сертификата ключ добавляется в заголовок ответа вашего сервера, после чего браузер сравнивает полученный ключ с тем, который он вычисляет после получения данных о вашем сертификате.<\/p>\n

Итак, что нам требуется:<\/p>\n

    \n
  1. Какой-либо установленный для сайта сертификат.<\/li>\n
  2. Консоль для получения публичного ключа.<\/li>\n<\/ol>\n

    Кстати, не так давно для нормального функционирования этой технологии требовался всего лишь один ключ, сейчас же нужно указывать два или более ключей. На мой взгляд двух будет достаточно, от этого и будем отталкиваться. Второй ключ является «резервным», этот момент я не совсем понимаю, но не будем отступать от требований.<\/p>\n

    Действовал я по следующей схеме:<\/p>\n