HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

Artikel veröffentlicht am , Hanno Böck
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen.
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck)

Key Pinning sollte einst das HTTPS-Ökosystem sicherer machen und eine Möglichkeit bieten, sich vor bösartigen oder gehackten Zertifizierungsstellen zu schützen. Doch der Standard HTTP Public Key Pinning (HPKP) dürfte wohl keine große Zukunft mehr vor sich haben. Chrome-Entwickler Chris Palmer kündigte in einer Mail an, dass das Feature wieder aus dem Google-Browser entfernt werden soll.

Stellenmarkt
  1. (Junior) SAP Projektmanager Accounting and Finance (m/w/d)
    Lidl Dienstleistung GmbH & Co. KG, Bad Wimpfen
  2. SAP Inhouse Consultant Schwerpunkt Supply Chain (m/w/d)
    CREATON GmbH, Wertingen
Detailsuche

Die Idee von HPKP ist im Grunde relativ simpel: Eine Webseite kann über einen HTTP-Header festlegen, dass für einen gewissen Zeitraum nur bestimmte Schlüssel für diese Seite akzeptiert werden sollen. Dabei kann man sowohl Schlüssel von End-Zertifikaten als auch Schlüssel von Zertifizierungsstellen angeben. Es müssen zudem immer mindestens zwei Schlüssel angegeben werden, damit man im Zweifelsfall einen Ersatzschlüssel hat. Neben diesen dynamischen Pins, die Webseiten selber setzen können, hat Chrome auch eine Liste von statischen Pins, die bereits Teil des Browsercodes sind.

Webmaster können ihre Webseite unbrauchbar machen

Doch in der Praxis gestaltete sich HPKP als außerordentlich trickreich. Ein großes Problem: Webseitenbesitzer können damit ihre eigene Seite unbrauchbar machen - wenn sie alle Schlüssel verlieren. So könnte ein Nutzer sich beispielsweise entscheiden, nur die Schlüssel von End-Zertifikaten zu pinnen. Wenn jemand jetzt gleichzeitig den Schlüssel für das aktuelle Zertifikat und den Ersatzschlüssel verliert - beispielsweise durch einen Hardwareschaden - gibt es für den Zeitraum des Pins keine Möglichkeit mehr, für die Webseite ein gültiges Zertifikat zu erhalten.

Ein weiteres Problem: Wenn Nutzer sich entscheiden, nur die Schlüssel von Zertifizierungsstellen zu pinnen, verlassen sie sich darauf, dass diese weiter existieren und auch weiterhin Zertifikate ausstellen. Doch zuletzt kam es immer wieder vor, dass einzelne Zertifizierungsstellen aufgrund von Fehlverhalten aus den Browsern entfernt wurden.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    09.-11.01.2023, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    23./24.01.2023, Virtuell
Weitere IT-Trainings

Im Sommer 2016 wurde beispielsweise bekannt, dass Wosign in zahlreichen Fällen die Regeln für Zertifizierungsstellen verletzt hat, und gleichzeitig auch, dass Startcom von Wosign gekauft wurde. Beide Zertifizierungsstellen flogen daraufhin aus allen wichtigen Browsern raus. Ein Nutzer, der für seine Webseite das Root-Zertifikat von Startcom und als Ersatz das Root-Zertifikat von Wosign mit einem langem Zeitraum gepinnt hätte, wäre nun in einer ungünstigen Situation, da er von Startcom und Wosign keine gültigen Zertifikate mehr bekommen kann.

Gefahr von Key-Pinning-Ransomware

Ein weiteres Problem wurde auf der Def Con letztes Jahr unter dem Namen RansomPKP diskutiert. Die Idee dabei: Ein Angreifer, der einen Webserver hackt, könnte eine Webseite eine Zeit lang mit einem vom Angreifer ausgestellten Zertifikat und Key pinnen und anschließend den Schlüssel löschen. Anschließend fordert er vom Besitzer der Webseite ein Lösegeld für die Herausgabe des privaten Schlüssels. Bei RansomPKP handelt es sich bislang allerdings wohl nur um ein theoretisches Szenario. Tatsächliche derartige Angriffe sind bislang nicht bekannt geworden.

Es stellte sich zudem heraus, dass sehr viele Webseiten ungültige HPKP-Header verschickten, beispielsweise solche, die überhaupt keinen gültigen Schlüssel enthielten, oder syntaktisch inkorrekte Header. Ein deutlicher Hinweis darauf, dass die relativ einfach erscheinende Logik von vielen Webmastern nicht nachvollzogen werden konnte, oder dass diese die Header einfach aus irgendwelchen Anleitungen kopiert haben, ohne genau zu verstehen, was sie damit machen.

Der TLS-Experte Ivan Ristic hatte vor einem Jahr bereits die Frage gestellt, ob angesichts dieser vielen Probleme HPKP tot sei. Ristic versuchte sich zuletzt noch daran, verschiedene Vorschläge zu machen, wie man HPKP verbessern könnte.

Bei Chrome ist man jedoch inzwischen wohl zu der Überzeugung gelangt, dass HPKP generell nicht mehr sinnvoll ist. Die jetzigen Kritiker wie Chris Palmer und Ryan Sleevi sind übrigens selbst Mitautoren von HPKP. Auch die statischen Pins sollen langfristig aus Chrome verschwinden, allerdings erst dann, wenn Certificate Transparency für alle Zertifikate verpflichtend vorgeschrieben ist.

Insgesamt dürfte es damit für die Zukunft von HPKP düster aussehen. Safari und Edge unterstützen das Feature bisher sowieso nicht. Es bleiben noch Firefox und Opera, die HPKP unterstützen.

Certificate Transparency statt HPKP

Statt HPKP setzt man jetzt bei Chrome vor allem auf Certificate Transparency, um dem Fehlverhalten von Zertifizierungsstellen zu begegnen. Das Konzept von Certificate Transparency ist es, sämtliche HTTPS-Zertifikate in öffentlich einsehbaren und überprüfbaren Logs zu speichern. Certificate Transparency gibt Webseitenbesitzern die Möglichkeit, die Logs nach Zertifikaten für ihre Webseiten zu durchsuchen, die sie nicht selbst beantragt haben.

Die Hoffnung: Da Browser inzwischen immer härter gegen Fehlverhalten von Zertifizierungsstellen vorgehen, haben diese einen hohen Anreiz, fehlerhafte Zertifikatsausstellungen zu verhindern, da diese durch Certificate Transparency praktisch immer auffliegen dürften. Certificate Transparency kann anders als HPKP die Nutzung von fehlerhaft ausgestellten Zertifikaten nicht verhindern. Aber dafür kann man damit auch weniger falsch machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


MarioWario 31. Okt 2017

Stimmt :-) - mir ging's darum das sich nix verbessert hat bezüglich der Inhalte von dem...

My1 30. Okt 2017

naja ich muss chon sagen dass die nummer die chrome gemacht hat schon etwas schief ist...

My1 30. Okt 2017

wie schon im artikel steht, kann man sich damit seine seite einfach zerbomben, aber dem...

Schnarchnase 30. Okt 2017

Ja DANE ist aktuell die beste Lösung die wir haben, allerdings ist das kein Pinning, da...



Aktuell auf der Startseite von Golem.de
Tesla-Fabrik
In Grünheide soll "totales Chaos" herrschen

Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
Artikel
  1. Kaufberatung: 2022 war ein besonders guter ANC-Kopfhörerjahrgang
    Kaufberatung
    2022 war ein besonders guter ANC-Kopfhörerjahrgang

    Wer derzeit nach einem besonders guten Kopfhörer oder Bluetooth-Hörstöpseln mit Active Noise Cancellation (ANC) sucht, hat es so einfach wie noch nie.
    Ein Ratgebertext von Ingo Pakalski

  2. Katastrophenschutz: Endlich klingelt es am Warntag
    Katastrophenschutz
    Endlich klingelt es am Warntag

    Zwei Jahre nach dem ersten bundesweiten Warntag klingelt es dank Cell Broadcast deutschlandweit. An anderen Stellen fehlen weiterhin Warnmittel.

  3. Elbit Systems Deutschland: Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab
    Elbit Systems Deutschland
    Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab

    Erst vor einem Jahr hat die Bundeswehr für 600 Millionen Euro Funkgeräte aus dem Jahr 1982 nachbauen lassen. Nun werden neue angeschafft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Asus RTX 4080 1.640,90€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /