Abo
  • Services:
Anzeige
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen.
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck)

HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen.
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck)

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

Key Pinning sollte einst das HTTPS-Ökosystem sicherer machen und eine Möglichkeit bieten, sich vor bösartigen oder gehackten Zertifizierungsstellen zu schützen. Doch der Standard HTTP Public Key Pinning (HPKP) dürfte wohl keine große Zukunft mehr vor sich haben. Chrome-Entwickler Chris Palmer kündigte in einer Mail an, dass das Feature wieder aus dem Google-Browser entfernt werden soll.

Anzeige

Die Idee von HPKP ist im Grunde relativ simpel: Eine Webseite kann über einen HTTP-Header festlegen, dass für einen gewissen Zeitraum nur bestimmte Schlüssel für diese Seite akzeptiert werden sollen. Dabei kann man sowohl Schlüssel von End-Zertifikaten als auch Schlüssel von Zertifizierungsstellen angeben. Es müssen zudem immer mindestens zwei Schlüssel angegeben werden, damit man im Zweifelsfall einen Ersatzschlüssel hat. Neben diesen dynamischen Pins, die Webseiten selber setzen können, hat Chrome auch eine Liste von statischen Pins, die bereits Teil des Browsercodes sind.

Webmaster können ihre Webseite unbrauchbar machen

Doch in der Praxis gestaltete sich HPKP als außerordentlich trickreich. Ein großes Problem: Webseitenbesitzer können damit ihre eigene Seite unbrauchbar machen - wenn sie alle Schlüssel verlieren. So könnte ein Nutzer sich beispielsweise entscheiden, nur die Schlüssel von End-Zertifikaten zu pinnen. Wenn jemand jetzt gleichzeitig den Schlüssel für das aktuelle Zertifikat und den Ersatzschlüssel verliert - beispielsweise durch einen Hardwareschaden - gibt es für den Zeitraum des Pins keine Möglichkeit mehr, für die Webseite ein gültiges Zertifikat zu erhalten.

Ein weiteres Problem: Wenn Nutzer sich entscheiden, nur die Schlüssel von Zertifizierungsstellen zu pinnen, verlassen sie sich darauf, dass diese weiter existieren und auch weiterhin Zertifikate ausstellen. Doch zuletzt kam es immer wieder vor, dass einzelne Zertifizierungsstellen aufgrund von Fehlverhalten aus den Browsern entfernt wurden.

Im Sommer 2016 wurde beispielsweise bekannt, dass Wosign in zahlreichen Fällen die Regeln für Zertifizierungsstellen verletzt hat, und gleichzeitig auch, dass Startcom von Wosign gekauft wurde. Beide Zertifizierungsstellen flogen daraufhin aus allen wichtigen Browsern raus. Ein Nutzer, der für seine Webseite das Root-Zertifikat von Startcom und als Ersatz das Root-Zertifikat von Wosign mit einem langem Zeitraum gepinnt hätte, wäre nun in einer ungünstigen Situation, da er von Startcom und Wosign keine gültigen Zertifikate mehr bekommen kann.

Gefahr von Key-Pinning-Ransomware

Ein weiteres Problem wurde auf der Def Con letztes Jahr unter dem Namen RansomPKP diskutiert. Die Idee dabei: Ein Angreifer, der einen Webserver hackt, könnte eine Webseite eine Zeit lang mit einem vom Angreifer ausgestellten Zertifikat und Key pinnen und anschließend den Schlüssel löschen. Anschließend fordert er vom Besitzer der Webseite ein Lösegeld für die Herausgabe des privaten Schlüssels. Bei RansomPKP handelt es sich bislang allerdings wohl nur um ein theoretisches Szenario. Tatsächliche derartige Angriffe sind bislang nicht bekannt geworden.

Es stellte sich zudem heraus, dass sehr viele Webseiten ungültige HPKP-Header verschickten, beispielsweise solche, die überhaupt keinen gültigen Schlüssel enthielten, oder syntaktisch inkorrekte Header. Ein deutlicher Hinweis darauf, dass die relativ einfach erscheinende Logik von vielen Webmastern nicht nachvollzogen werden konnte, oder dass diese die Header einfach aus irgendwelchen Anleitungen kopiert haben, ohne genau zu verstehen, was sie damit machen.

Der TLS-Experte Ivan Ristic hatte vor einem Jahr bereits die Frage gestellt, ob angesichts dieser vielen Probleme HPKP tot sei. Ristic versuchte sich zuletzt noch daran, verschiedene Vorschläge zu machen, wie man HPKP verbessern könnte.

Bei Chrome ist man jedoch inzwischen wohl zu der Überzeugung gelangt, dass HPKP generell nicht mehr sinnvoll ist. Die jetzigen Kritiker wie Chris Palmer und Ryan Sleevi sind übrigens selbst Mitautoren von HPKP. Auch die statischen Pins sollen langfristig aus Chrome verschwinden, allerdings erst dann, wenn Certificate Transparency für alle Zertifikate verpflichtend vorgeschrieben ist.

Insgesamt dürfte es damit für die Zukunft von HPKP düster aussehen. Safari und Edge unterstützen das Feature bisher sowieso nicht. Es bleiben noch Firefox und Opera, die HPKP unterstützen.

Certificate Transparency statt HPKP

Statt HPKP setzt man jetzt bei Chrome vor allem auf Certificate Transparency, um dem Fehlverhalten von Zertifizierungsstellen zu begegnen. Das Konzept von Certificate Transparency ist es, sämtliche HTTPS-Zertifikate in öffentlich einsehbaren und überprüfbaren Logs zu speichern. Certificate Transparency gibt Webseitenbesitzern die Möglichkeit, die Logs nach Zertifikaten für ihre Webseiten zu durchsuchen, die sie nicht selbst beantragt haben.

Die Hoffnung: Da Browser inzwischen immer härter gegen Fehlverhalten von Zertifizierungsstellen vorgehen, haben diese einen hohen Anreiz, fehlerhafte Zertifikatsausstellungen zu verhindern, da diese durch Certificate Transparency praktisch immer auffliegen dürften. Certificate Transparency kann anders als HPKP die Nutzung von fehlerhaft ausgestellten Zertifikaten nicht verhindern. Aber dafür kann man damit auch weniger falsch machen.


eye home zur Startseite
MarioWario 31. Okt 2017

Stimmt :-) - mir ging's darum das sich nix verbessert hat bezüglich der Inhalte von dem...

Themenstart

My1 30. Okt 2017

naja ich muss chon sagen dass die nummer die chrome gemacht hat schon etwas schief ist...

Themenstart

My1 30. Okt 2017

wie schon im artikel steht, kann man sich damit seine seite einfach zerbomben, aber dem...

Themenstart

Schnarchnase 30. Okt 2017

Ja DANE ist aktuell die beste Lösung die wir haben, allerdings ist das kein Pinning, da...

Themenstart

Gandalf2210 30. Okt 2017

Mit seinen ständigen Zertifikaten. Erst meckert der, dass mein Router ein selbst...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Technische Universität Hamburg, Hamburg
  3. STAHLGRUBER GmbH, Poing bei München
  4. Robert Bosch Start-up GmbH, Renningen


Anzeige
Top-Angebote
  1. (heute u. a. Roccat Kone Pure Owl-Eye für 44€)
  2. (u. a. Morrowind PC/Konsole für 15€ und Prey PS4/XBO für 15€)
  3. (u. a. Honor 8 für 279€)

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: 802.11w-2009?

    ML82 | 13:32

  2. Re: Unpassender Vergleich

    Theoretiker | 13:26

  3. Re: heißt die app

    Theoretiker | 13:24

  4. Re: Wir wäre es denn mit einer Abfrage?

    tribal-sunrise | 13:23

  5. Re: Kann man sich da auch für einzelne Personen...

    Theoretiker | 13:23


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel