我正在实现SPKI锁定到我的移动应用程序,我想知道当我用另一个CA续订主题发布密钥时,它是否会更改?我仍然使用相同的CSR来生成证书。人们说,如果我们使用相同的证书签名请求文件(CRS),公钥将是相同的,但我不确定CA是否也是一个因素。
发布于 2019-05-14 03:23:37
简短的回答是:不,它不应该改变,只要你做了正确的事情。
It is recommended指出,当您指定SPKI HTTP标头时,您应该在控件中提供至少两个Subject Public Key Information (SPKI) fingerprint的私钥(一个用于生产,另一个用于备份)。现在,作为reported here,在私钥丢失的情况下指定知名CA的SPKI指纹是一种常见的做法,但这会使HPKP无效,因为如果CA被攻破,那么您基本上就是在说“信任CA颁发的证书”。这就是为什么建议提供您自己的公钥的SPKI指纹:一个用于常见用途,另一个用于私钥丢失的情况。因此,如果您在自己的公钥的SPKI HTTP头中指定,则每当您使用另一个CA (使用相同的CSR或新的证书颁发机构)生成新证书时,您的公钥将是相同的,并且SPKI仍然有效。
https://stackoverflow.com/questions/56117742
复制相似问题