Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

Eine bislang wenig beachtete HTTPS-Erweiterung mit dem Namen HTTP Public Key Pinning (HPKP) steht kurz vor ihrer Standardisierung. Durch Public Key Pinning könnten viele Probleme mit den Zertifizierungsstellen gelöst werden.

Anzeige

Im Moment ist es noch ein Entwurf, in Kürze wird es wohl ein offizieller Standard der Internet Engineering Task Force (IETF): Mit HTTP Public Key Pinning, abgekürzt HPKP, steht dann eine Technologie zur Verfügung, die viele Probleme mit dem System der Zertifizierungsstellen lösen könnte.

Zertifizierungsstellen oder CAs (Certificate Authorities) stellen kryptographische Zertifikate aus, mit denen anschließend Webseiten oder andere Netzverbindungen mittels TLS abgesichert werden können. Ein Zertifikat gewährleistet, dass der Nutzer bei einer Verbindung zu einer bestimmten Domain - etwa www.google.com - auch tatsächlich mit der richtigen Adresse verbunden ist und nicht mit einer Fälschung.

System der Zertifizierungsstellen in Verruf geraten

Doch das CA-System ist in Verruf geraten. Zuletzt hatte die Firma India CCA zahlreiche gefälschte Zertifikate ausgestellt. India CCA war kein Einzelfall. In den vergangenen Jahren haben zahlreiche Zertifizierungsstellen gefälschte Zertifikate ausgestellt: So beispielsweise die niederländische Firma Diginotar, die daraufhin Konkurs anmelden musste. Comodo, eine der größten Netz-Zertifizierungsstellen, musste 2011 ebenfalls eingestehen, dass die Firma zahlreiche illegitime Zertifikate ausgestellt hatte. Sie wurden vermutlich von der iranischen Regierung für Man-in-the-Middle-Angriffe eingesetzt. Während Diginotar Konkurs ging, hatte der Vorfall für Comodo keinerlei negativen Konsequenzen.

Das Grundproblem des gesamten Systems der Zertifizierungsstellen: Gängige Browser vertrauen automatisch mehreren hundert Zertifizierungsstellen. Jede einzelne davon kann theoretisch nach Belieben gefälschte Zertifikate für fremde Webseiten ausstellen. Jede Zertifizierungsstelle ist zudem in der Lage, Unterzertifizierungsstellen zu ernennen. Auch diese werden anschließend von Browsern automatisch erkannt.

Vorschläge für Alternativen zum System der Zertifizierungsstellen oder Ansätze, die Situation zu verbessern, gab es bereits einige. Convergence, Sovereign Keys oder TACK sind derartige Projekte, die jedoch alle eines gemeinsam haben: Sie konnten sich nicht bislang durchsetzen.

Google akzeptiert seit einiger Zeit im Chrome-Browser für bestimmte Webseiten nicht mehr jedes Zertifikat. Der Browser greift auf eine Liste von Seiten zu, bei denen ein Zertifikat oder eine bestimmte Zertifizierungsstelle voreingestellt ist. Mozilla hat dies mit der jüngsten Version ebenfalls eingeführt. Doch während diese Methode für große Webseiten eine mögliche Lösung darstellt, sind kleinere Webseitenbetreiber davon bislang ausgeschlossen. Hier setzt HTTP Public Key Pinning an.

HTTP Public Key Pinning schafft Abhilfe

Die HTTP-Erweiterung Public Key Pinning wurde federführend von Google-Mitarbeitern entwickelt und nutzt einen relativ simplen Mechanismus, um die Sicherheit von HTTPS-Zertifikaten zu verbessern: Mittels eines HTTP-Headers kann der Betreiber einer Webseite einen Pin mitschicken. Dabei handelt es sich um Hashes von kryptographischen Schlüsseln und einen Zeitwert. Wenn der Browser das Pinning unterstützt, speichert er diese Information und akzeptiert fortan nur noch Verbindungen, bei denen das Zertifikat einen der gepinnten Schlüssel nutzt. Alternativ kann eine Webseite auch einen Pin für den Schlüssel einer Zertifizierungsstelle setzen. Es muss lediglich ein verwendetes Zertifikat in der Vertrauenskette mit dem Pin übereinstimmen.

Ein Beispiel für einen derartigen Pin ist folgende Headerzeile: Public-Key-Pins:

Public-Key-Pins: max-age=5184000; pin-sha256="jYEKhFo1FULVqIk/Nph3hu1SDWhifZamgYGxnk3Zuys="; pin-sha256="h0h88SscIXy94RvNI7O2CDUpuCwXL1WvX1jH8Hb1/9A="; includeSubdomains; report-uri="https://example.com/hpkp.php"

Die Angabe "max-age" definiert in Sekunden, wie lange ein Pin gültig ist, empfohlen wird ein Wert von 60 Tagen. Bei den beiden Pin-Werten handelt es sich um eine BASE64-codierung des entsprechenden SHA256-Hashes über den verwendeten öffentlichen Schlüssel. Mit dem Befehl "includeSubdomains" lässt sich angeben, dass der Pin auch für Subdomains gelten soll.

Die Erstellung der passenden SHA256-Hashes ist unter Linux mit einigen simplen Kommandozeilenbefehlen möglich, der Autor dieses Artikels hat auf Github ein entsprechendes Skript bereitgestellt, mit dem sich Pins für die öffentlichen Schlüssel von Zertifikaten erstellen lassen.

Eine weitere interessante Funktion ist die Möglichkeit, eine URL anzugeben, an die im Falle eines fehlerhaften Zertifikats eine Meldung geschickt wird. Falls ein Browser eine HTTPS-Verbindung bekommt, für die ein Pin existiert und die kein mit dem Pin übereinstimmendes Zertifikat ausliefert, wird an die über report-uri angegebene Adresse ein JSON-codierter Fehlerbericht gesendet. Der Vorteil für den Webseitenbetreiber: Sollte ein Angriff auf die Besucher der eigenen Webseite stattfinden, bestehen gute Chancen, dass man davon erfährt. Zuverlässig ist das Feature allerdings nicht: Bei Man-in-the-Middle-Angriffen kann der Angreifer verhindern, dass ein entsprechender Fehlerbericht versendet wird.

Angriff nur noch beim ersten Seitenaufruf 

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. init AG, Karlsruhe
  2. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  3. Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt
  4. Daimler AG, Neu-Ulm


Anzeige
Spiele-Angebote
  1. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  2. 149,99€
  3. 209,99€/219,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  2. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  3. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  4. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  5. Sony

    Absatz der Playstation 4 weiter stark

  6. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  7. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr

  8. Rechtsstreit

    Nvidia zahlt 30 US-Dollar für 512 MByte

  9. Formel E

    Die Elektrorenner bekommen einen futuristischen Frontflügel

  10. Familienmediathek

    Google lässt gekaufte Play-Store-Inhalte teilen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Quadro P6000/P5000 Nvidia kündigt Profi-Karten mit GP102-Vollausbau an
  2. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  3. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August

Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

Pokémon Go im Test: Hype in der Großstadt, Flaute auf dem Land
Pokémon Go im Test
Hype in der Großstadt, Flaute auf dem Land
  1. Pokémon Go Pikachu versus Bundeswehr
  2. Nintendo Gewinn steigt durch Pokémon Go kaum an
  3. Pokémon Go Monsterjagd im Heimatland

  1. Laut Winfuture wollen die sogar das Wort "Sommer...

    HiddenX | 15:53

  2. Re: Berichte über Elon Musk

    Sebbi | 15:52

  3. Re: eine stadt und ein jahr -.-

    ibsi | 15:52

  4. Re: Fußball verbieten

    Prypjat | 15:52

  5. Re: Liebe Spiele-Entwickler

    pseudo | 15:52


  1. 14:28

  2. 13:00

  3. 12:28

  4. 12:19

  5. 12:16

  6. 12:01

  7. 11:39

  8. 11:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel