Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

Angriff nur noch beim ersten Seitenaufruf

Anzeige

Perfekt ist HTTP Public Key Pinning nicht. Wenn ein Besucher zum ersten Mal eine Webseite besucht, kann weiterhin ein Angriff mittels eines gefälschten Zertifikats durchgeführt werden. Doch die Chance auf Erfolg ist viel geringer. Es muss lediglich der erste Verbindungsaufbau mit einer verschlüsselten Webseite abgesichert werden.

Die Idee, beim ersten Besuch einer Webseite bestimmte Sicherheitseigenschaften festzulegen, ist nicht neu. Ähnlich arbeitet HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind. Es ist empfehlenswert, HSTS und HPKP zu kombinieren.

Webseitenbetreiber können sich selbst schaden

HPKP erreicht für HTTPS-Verbindungen einen großen Sicherheitsgewinn, doch es gibt ein nicht zu unterschätzendes Risiko: Ein Webseitenbetreiber, der seine privaten Schlüssel verliert, sperrt möglicherweise unabsichtlich seine Besucher aus. Um dieses Szenario zu vermeiden, zwingt HPKP die Webseitenbetreiber dazu, einen Ersatzschlüssel zu definieren. Ein Pin wird nur akzeptiert, wenn mindestens zwei Schlüssel-Hashes darin angegeben sind. Auf diesen Ersatzschlüssel sollten Firmen sehr gut aufpassen. Sollte aufgrund eines Servereinbruchs oder eines Sicherheitsproblems wie Heartbleed ein neues Zertifikat kurzfristig erstellt werden müssen, kommt der Ersatzschlüssel zum Einsatz.

Hat man alle gepinnten Schlüssel verloren, führt das unter Umständen dazu, dass Besucher die Webseite für mehrere Wochen nicht besuchen können. Für diesen Fall sieht der Standard vor, dass Browser dem Nutzer eine Möglichkeit geben, die Pins selbst wieder zu löschen.

Um das Risiko zu minimieren, kann auch statt des eigenen Schlüssels der Schlüssel der verwendeten Zertifizierungsstelle gepinnt werden. In dem Fall muss nur gewährleistet werden, dass beim Tausch des Zertifikats dieses wieder von derselben Zertifizierungsstelle gekauft wird. Allerdings ist der Sicherheitsgewinn damit geringer. Wird die eigene Zertifizierungsstelle kompromittiert, sind Zertifikatsfälschungen wieder möglich. In so einem Fall wäre es auch sehr unglücklich, wenn die verwendete Zertifizierungsstelle ihren Betrieb einstellt.

Gut geplant werden muss beim Einsatz von HPKP der Austausch von abgelaufenen Zertifikaten. Denn es kann nicht einfach jederzeit ein neues Zertifikat samt neuem Schlüssel eingesetzt werden. Am besten wird für ein neues Zertifikat der bereits hinterlegte Ersatzschlüssel genutzt. Sobald das neue Zertifikat im Einsatz ist, kann der Pin geändert werden. Der Hash für den alten Schlüssel kann wegfallen und durch den Hash eines neuen Reserveschlüssels ersetzt werden.

Bislang nur in Chrome

Genutzt wird der Key-Pinning-Header bislang ausschließlich in Google Chrome und dessen freier Version Chromium. Mozilla Firefox hat kürzlich angekündigt, die Technologie bald zu unterstützen. Unter Chrome kann der Status von Webseiten-Pins über den Aufruf von chrome://net-internals unter dem Menüpunkt HSTS abgefragt werden.

Da das Pinning über einen HTTP-Header realisiert wird, lässt es sich ausschließlich für HTTPS nutzen. Das ist bedauerlich, denn das Problem mit gefälschten Zertifikaten betrifft alle Protokolle. Doch für die Absicherung beispielsweise von Mailverbindungen über POP3, IMAP und SMTP gibt es bislang kein ähnliches System.

Kleine Schritte zur Verbesserung der CA-Sicherheit

Dass beim System der Zertifizierungsstelle gravierende Sicherheitsprobleme bestehen, ist seit vielen Jahren offensichtlich. Trotzdem hat sich bislang wenig getan. Mit HTTP Public Key Pinning könnte sich das ändern. Da der Vorschlag von Google vorangetrieben wird, sind die Chancen nicht schlecht, dass er nicht wie die anderen, ähnlich gelagerten scheitert. Neben HTTP Public Key Pinning hat Google noch ein weiteres System zur Stärkung der Sicherheit von Zertifikaten in Arbeit: Mit Certificate Transparency sollen gefälschte Zertifikate leichter auffindbar werden.

In der Praxis wird HTTP Public Key Pinning noch so gut wie nicht eingesetzt. Wir haben keine einzige größere Webseite gefunden, die bereits jetzt auf entsprechende Pins setzt. Das ist schwer zu verstehen, denn der Sicherheitsgewinn ist enorm.

 HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn, Darmstadt
  3. über HRM CONSULTING GmbH, Köln
  4. Imago Design GmbH, Gilching


Anzeige
Blu-ray-Angebote
  1. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  2. (u. a. Vier Fäuste für ein Halleluja, Zwei bärenstarke Typen,Vier Fäuste gegen Rio)
  3. 17,97€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
Astrohaus Freewrite im Test
Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
  1. Cisco Global Cloud Index Bald sind 90 Prozent der Workloads in Cloud-Rechenzentren
  2. Cloud Computing Hyperkonvergenz packt das ganze Rechenzentrum in eine Kiste
  3. Cloud Computing Was ist eigentlich Software Defined Storage?

Senode: Eine ganze Komposition in zwei Graphen
Senode
Eine ganze Komposition in zwei Graphen
  1. Digitales Fernsehen Verbraucherschützer warnen vor falschen DVB-T2-Geräten
  2. Offlinemodus Netflix erlaubt Download ausgewählter Filme und Serien
  3. LG PH450UG LED-Kurzdistanzprojektor arbeitet mit Akku

HTC 10 Evo im Kurztest: HTCs eigenwillige Evolution
HTC 10 Evo im Kurztest
HTCs eigenwillige Evolution
  1. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor
  2. Google Im Pixel steckt wohl mehr HTC als gedacht
  3. Desire 10 Lifestyle HTC stellt noch ein Mittelklasse-Smartphone für 300 Euro vor

  1. Re: ... die Pay-TV-Plattform Freenet TV ...

    sundilsan | 17:13

  2. Re: Verstehe ich das Richtig?

    Faksimile | 17:12

  3. Director of Product Integrity

    sskora | 17:01

  4. Re: Schon wieder eine Sicherheitslücke bei Apple...

    seizethecheesl | 16:57

  5. Re: 4000¤ - WTF?

    DetlevCM | 16:55


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel