Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

Angriff nur noch beim ersten Seitenaufruf

Anzeige

Perfekt ist HTTP Public Key Pinning nicht. Wenn ein Besucher zum ersten Mal eine Webseite besucht, kann weiterhin ein Angriff mittels eines gefälschten Zertifikats durchgeführt werden. Doch die Chance auf Erfolg ist viel geringer. Es muss lediglich der erste Verbindungsaufbau mit einer verschlüsselten Webseite abgesichert werden.

Die Idee, beim ersten Besuch einer Webseite bestimmte Sicherheitseigenschaften festzulegen, ist nicht neu. Ähnlich arbeitet HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind. Es ist empfehlenswert, HSTS und HPKP zu kombinieren.

Webseitenbetreiber können sich selbst schaden

HPKP erreicht für HTTPS-Verbindungen einen großen Sicherheitsgewinn, doch es gibt ein nicht zu unterschätzendes Risiko: Ein Webseitenbetreiber, der seine privaten Schlüssel verliert, sperrt möglicherweise unabsichtlich seine Besucher aus. Um dieses Szenario zu vermeiden, zwingt HPKP die Webseitenbetreiber dazu, einen Ersatzschlüssel zu definieren. Ein Pin wird nur akzeptiert, wenn mindestens zwei Schlüssel-Hashes darin angegeben sind. Auf diesen Ersatzschlüssel sollten Firmen sehr gut aufpassen. Sollte aufgrund eines Servereinbruchs oder eines Sicherheitsproblems wie Heartbleed ein neues Zertifikat kurzfristig erstellt werden müssen, kommt der Ersatzschlüssel zum Einsatz.

Hat man alle gepinnten Schlüssel verloren, führt das unter Umständen dazu, dass Besucher die Webseite für mehrere Wochen nicht besuchen können. Für diesen Fall sieht der Standard vor, dass Browser dem Nutzer eine Möglichkeit geben, die Pins selbst wieder zu löschen.

Um das Risiko zu minimieren, kann auch statt des eigenen Schlüssels der Schlüssel der verwendeten Zertifizierungsstelle gepinnt werden. In dem Fall muss nur gewährleistet werden, dass beim Tausch des Zertifikats dieses wieder von derselben Zertifizierungsstelle gekauft wird. Allerdings ist der Sicherheitsgewinn damit geringer. Wird die eigene Zertifizierungsstelle kompromittiert, sind Zertifikatsfälschungen wieder möglich. In so einem Fall wäre es auch sehr unglücklich, wenn die verwendete Zertifizierungsstelle ihren Betrieb einstellt.

Gut geplant werden muss beim Einsatz von HPKP der Austausch von abgelaufenen Zertifikaten. Denn es kann nicht einfach jederzeit ein neues Zertifikat samt neuem Schlüssel eingesetzt werden. Am besten wird für ein neues Zertifikat der bereits hinterlegte Ersatzschlüssel genutzt. Sobald das neue Zertifikat im Einsatz ist, kann der Pin geändert werden. Der Hash für den alten Schlüssel kann wegfallen und durch den Hash eines neuen Reserveschlüssels ersetzt werden.

Bislang nur in Chrome

Genutzt wird der Key-Pinning-Header bislang ausschließlich in Google Chrome und dessen freier Version Chromium. Mozilla Firefox hat kürzlich angekündigt, die Technologie bald zu unterstützen. Unter Chrome kann der Status von Webseiten-Pins über den Aufruf von chrome://net-internals unter dem Menüpunkt HSTS abgefragt werden.

Da das Pinning über einen HTTP-Header realisiert wird, lässt es sich ausschließlich für HTTPS nutzen. Das ist bedauerlich, denn das Problem mit gefälschten Zertifikaten betrifft alle Protokolle. Doch für die Absicherung beispielsweise von Mailverbindungen über POP3, IMAP und SMTP gibt es bislang kein ähnliches System.

Kleine Schritte zur Verbesserung der CA-Sicherheit

Dass beim System der Zertifizierungsstelle gravierende Sicherheitsprobleme bestehen, ist seit vielen Jahren offensichtlich. Trotzdem hat sich bislang wenig getan. Mit HTTP Public Key Pinning könnte sich das ändern. Da der Vorschlag von Google vorangetrieben wird, sind die Chancen nicht schlecht, dass er nicht wie die anderen, ähnlich gelagerten scheitert. Neben HTTP Public Key Pinning hat Google noch ein weiteres System zur Stärkung der Sicherheit von Zertifikaten in Arbeit: Mit Certificate Transparency sollen gefälschte Zertifikate leichter auffindbar werden.

In der Praxis wird HTTP Public Key Pinning noch so gut wie nicht eingesetzt. Wir haben keine einzige größere Webseite gefunden, die bereits jetzt auf entsprechende Pins setzt. Das ist schwer zu verstehen, denn der Sicherheitsgewinn ist enorm.

 HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. gkv informatik, Wuppertal
  2. Landeshauptstadt München, München
  3. über Ratbacher GmbH, Raum Minden (Home-Office möglich)
  4. Limbach Gruppe SE, Rüsselsheim


Anzeige
Hardware-Angebote
  1. und Gratis-Produkt erhalten
  2. $369.99/€335.09

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Steadicam Volt Steadicam-Halterung für die Hosentasche
  2. Android Wear 2.0 Erste neue Smartwatches kommen von LG
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Obama halt so butthurt

    torrbox | 23:05

  2. Re: Das macht der doch...

    torrbox | 22:58

  3. Re: Veerräter!

    maze_1980 | 22:50

  4. Re: Der Typ ist größenwahnsinnig

    BLi8819 | 22:50

  5. Re: Gaebe es eigentlich ein legales Mittel?

    frostbitten king | 22:44


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel