Abo
  • Services:

HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

Artikel veröffentlicht am , Hanno Böck
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen.
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck)

Key Pinning sollte einst das HTTPS-Ökosystem sicherer machen und eine Möglichkeit bieten, sich vor bösartigen oder gehackten Zertifizierungsstellen zu schützen. Doch der Standard HTTP Public Key Pinning (HPKP) dürfte wohl keine große Zukunft mehr vor sich haben. Chrome-Entwickler Chris Palmer kündigte in einer Mail an, dass das Feature wieder aus dem Google-Browser entfernt werden soll.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, München
  2. BWI GmbH, Nürnberg, Bonn, Köln, Strausberg, München

Die Idee von HPKP ist im Grunde relativ simpel: Eine Webseite kann über einen HTTP-Header festlegen, dass für einen gewissen Zeitraum nur bestimmte Schlüssel für diese Seite akzeptiert werden sollen. Dabei kann man sowohl Schlüssel von End-Zertifikaten als auch Schlüssel von Zertifizierungsstellen angeben. Es müssen zudem immer mindestens zwei Schlüssel angegeben werden, damit man im Zweifelsfall einen Ersatzschlüssel hat. Neben diesen dynamischen Pins, die Webseiten selber setzen können, hat Chrome auch eine Liste von statischen Pins, die bereits Teil des Browsercodes sind.

Webmaster können ihre Webseite unbrauchbar machen

Doch in der Praxis gestaltete sich HPKP als außerordentlich trickreich. Ein großes Problem: Webseitenbesitzer können damit ihre eigene Seite unbrauchbar machen - wenn sie alle Schlüssel verlieren. So könnte ein Nutzer sich beispielsweise entscheiden, nur die Schlüssel von End-Zertifikaten zu pinnen. Wenn jemand jetzt gleichzeitig den Schlüssel für das aktuelle Zertifikat und den Ersatzschlüssel verliert - beispielsweise durch einen Hardwareschaden - gibt es für den Zeitraum des Pins keine Möglichkeit mehr, für die Webseite ein gültiges Zertifikat zu erhalten.

Ein weiteres Problem: Wenn Nutzer sich entscheiden, nur die Schlüssel von Zertifizierungsstellen zu pinnen, verlassen sie sich darauf, dass diese weiter existieren und auch weiterhin Zertifikate ausstellen. Doch zuletzt kam es immer wieder vor, dass einzelne Zertifizierungsstellen aufgrund von Fehlverhalten aus den Browsern entfernt wurden.

Im Sommer 2016 wurde beispielsweise bekannt, dass Wosign in zahlreichen Fällen die Regeln für Zertifizierungsstellen verletzt hat, und gleichzeitig auch, dass Startcom von Wosign gekauft wurde. Beide Zertifizierungsstellen flogen daraufhin aus allen wichtigen Browsern raus. Ein Nutzer, der für seine Webseite das Root-Zertifikat von Startcom und als Ersatz das Root-Zertifikat von Wosign mit einem langem Zeitraum gepinnt hätte, wäre nun in einer ungünstigen Situation, da er von Startcom und Wosign keine gültigen Zertifikate mehr bekommen kann.

Gefahr von Key-Pinning-Ransomware

Ein weiteres Problem wurde auf der Def Con letztes Jahr unter dem Namen RansomPKP diskutiert. Die Idee dabei: Ein Angreifer, der einen Webserver hackt, könnte eine Webseite eine Zeit lang mit einem vom Angreifer ausgestellten Zertifikat und Key pinnen und anschließend den Schlüssel löschen. Anschließend fordert er vom Besitzer der Webseite ein Lösegeld für die Herausgabe des privaten Schlüssels. Bei RansomPKP handelt es sich bislang allerdings wohl nur um ein theoretisches Szenario. Tatsächliche derartige Angriffe sind bislang nicht bekannt geworden.

Es stellte sich zudem heraus, dass sehr viele Webseiten ungültige HPKP-Header verschickten, beispielsweise solche, die überhaupt keinen gültigen Schlüssel enthielten, oder syntaktisch inkorrekte Header. Ein deutlicher Hinweis darauf, dass die relativ einfach erscheinende Logik von vielen Webmastern nicht nachvollzogen werden konnte, oder dass diese die Header einfach aus irgendwelchen Anleitungen kopiert haben, ohne genau zu verstehen, was sie damit machen.

Der TLS-Experte Ivan Ristic hatte vor einem Jahr bereits die Frage gestellt, ob angesichts dieser vielen Probleme HPKP tot sei. Ristic versuchte sich zuletzt noch daran, verschiedene Vorschläge zu machen, wie man HPKP verbessern könnte.

Bei Chrome ist man jedoch inzwischen wohl zu der Überzeugung gelangt, dass HPKP generell nicht mehr sinnvoll ist. Die jetzigen Kritiker wie Chris Palmer und Ryan Sleevi sind übrigens selbst Mitautoren von HPKP. Auch die statischen Pins sollen langfristig aus Chrome verschwinden, allerdings erst dann, wenn Certificate Transparency für alle Zertifikate verpflichtend vorgeschrieben ist.

Insgesamt dürfte es damit für die Zukunft von HPKP düster aussehen. Safari und Edge unterstützen das Feature bisher sowieso nicht. Es bleiben noch Firefox und Opera, die HPKP unterstützen.

Certificate Transparency statt HPKP

Statt HPKP setzt man jetzt bei Chrome vor allem auf Certificate Transparency, um dem Fehlverhalten von Zertifizierungsstellen zu begegnen. Das Konzept von Certificate Transparency ist es, sämtliche HTTPS-Zertifikate in öffentlich einsehbaren und überprüfbaren Logs zu speichern. Certificate Transparency gibt Webseitenbesitzern die Möglichkeit, die Logs nach Zertifikaten für ihre Webseiten zu durchsuchen, die sie nicht selbst beantragt haben.

Die Hoffnung: Da Browser inzwischen immer härter gegen Fehlverhalten von Zertifizierungsstellen vorgehen, haben diese einen hohen Anreiz, fehlerhafte Zertifikatsausstellungen zu verhindern, da diese durch Certificate Transparency praktisch immer auffliegen dürften. Certificate Transparency kann anders als HPKP die Nutzung von fehlerhaft ausgestellten Zertifikaten nicht verhindern. Aber dafür kann man damit auch weniger falsch machen.



Anzeige
Spiele-Angebote
  1. 31,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. (-73%) 7,99€

MarioWario 31. Okt 2017

Stimmt :-) - mir ging's darum das sich nix verbessert hat bezüglich der Inhalte von dem...

My1 30. Okt 2017

naja ich muss chon sagen dass die nummer die chrome gemacht hat schon etwas schief ist...

My1 30. Okt 2017

wie schon im artikel steht, kann man sich damit seine seite einfach zerbomben, aber dem...

Schnarchnase 30. Okt 2017

Ja DANE ist aktuell die beste Lösung die wir haben, allerdings ist das kein Pinning, da...

Gandalf2210 30. Okt 2017

Mit seinen ständigen Zertifikaten. Erst meckert der, dass mein Router ein selbst...


Folgen Sie uns
       


Shift 6m - Hands on (Cebit 2018)

Der Hersteller beschreibt das neue Shift 6M als nachhaltig und Highend - wir haben es uns auf der Cebit 2018 angesehen.

Shift 6m - Hands on (Cebit 2018) Video aufrufen
IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. 32-Kern-CPU Threadripper 2990WX läuft mit Radeons besser
  2. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  3. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole

    •  /