一个想法：为什么现在有 HSTS Preload，但没有 Preload Cert？

2018-06-30 15:45:58 +08:00

billchenchina

刚才看了看关于 HSTS 的资料，突然有这么个想法：

如果说 preload 是为了防止中间人，硬编码到浏览器里的，那么为什么没有 preload 证书这种东西，能够在获取证书的时候就知道某个站点 preload （而且这样的话就可以不硬编码了）？

2415 次点击

所在节点

奇思妙想

6 条回复

xupefei

2018-06-30 16:04:29 +08:00

Http 头里不就有参数干这个么

isCyan

2018-06-30 16:08:27 +08:00

preload 证书是证书对吧
传送证书就是使用 https 协议对吧
那么用户使用 http 协议的话，你的 preload 证书根本发送不到浏览器
那么如果加上 http to https 的跳转，引导用户使用 https
攻击者就可以劫持这个跳转请求，也就是唯一的使用 http 协议的请求，阻止跳转到 https 或者干别的事情
所以没有任何用

billchenchina

2018-06-30 16:17:34 +08:00

@isCyan

哦...刚才自己智障了...感谢回复。。

（结贴）

SingeeKing

2018-06-30 16:22:06 +08:00

「在获取证书的时候就知道某个站点 preload 」

这不就是 HSTS 头吗。。。

jsq2627

2018-06-30 21:33:09 +08:00

HPKP?

RqPS6rhmP3Nyn3Tm

2018-07-01 15:01:19 +08:00

根证书都是内置的，没啥用

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/467069

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.