HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

Artikel veröffentlicht am , Hanno Böck
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen.
Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck)

Key Pinning sollte einst das HTTPS-Ökosystem sicherer machen und eine Möglichkeit bieten, sich vor bösartigen oder gehackten Zertifizierungsstellen zu schützen. Doch der Standard HTTP Public Key Pinning (HPKP) dürfte wohl keine große Zukunft mehr vor sich haben. Chrome-Entwickler Chris Palmer kündigte in einer Mail an, dass das Feature wieder aus dem Google-Browser entfernt werden soll.

Stellenmarkt
  1. Technischer Redakteur (m/w/d)
    Schweickert GmbH, Walldorf
  2. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
Detailsuche

Die Idee von HPKP ist im Grunde relativ simpel: Eine Webseite kann über einen HTTP-Header festlegen, dass für einen gewissen Zeitraum nur bestimmte Schlüssel für diese Seite akzeptiert werden sollen. Dabei kann man sowohl Schlüssel von End-Zertifikaten als auch Schlüssel von Zertifizierungsstellen angeben. Es müssen zudem immer mindestens zwei Schlüssel angegeben werden, damit man im Zweifelsfall einen Ersatzschlüssel hat. Neben diesen dynamischen Pins, die Webseiten selber setzen können, hat Chrome auch eine Liste von statischen Pins, die bereits Teil des Browsercodes sind.

Webmaster können ihre Webseite unbrauchbar machen

Doch in der Praxis gestaltete sich HPKP als außerordentlich trickreich. Ein großes Problem: Webseitenbesitzer können damit ihre eigene Seite unbrauchbar machen - wenn sie alle Schlüssel verlieren. So könnte ein Nutzer sich beispielsweise entscheiden, nur die Schlüssel von End-Zertifikaten zu pinnen. Wenn jemand jetzt gleichzeitig den Schlüssel für das aktuelle Zertifikat und den Ersatzschlüssel verliert - beispielsweise durch einen Hardwareschaden - gibt es für den Zeitraum des Pins keine Möglichkeit mehr, für die Webseite ein gültiges Zertifikat zu erhalten.

Ein weiteres Problem: Wenn Nutzer sich entscheiden, nur die Schlüssel von Zertifizierungsstellen zu pinnen, verlassen sie sich darauf, dass diese weiter existieren und auch weiterhin Zertifikate ausstellen. Doch zuletzt kam es immer wieder vor, dass einzelne Zertifizierungsstellen aufgrund von Fehlverhalten aus den Browsern entfernt wurden.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Im Sommer 2016 wurde beispielsweise bekannt, dass Wosign in zahlreichen Fällen die Regeln für Zertifizierungsstellen verletzt hat, und gleichzeitig auch, dass Startcom von Wosign gekauft wurde. Beide Zertifizierungsstellen flogen daraufhin aus allen wichtigen Browsern raus. Ein Nutzer, der für seine Webseite das Root-Zertifikat von Startcom und als Ersatz das Root-Zertifikat von Wosign mit einem langem Zeitraum gepinnt hätte, wäre nun in einer ungünstigen Situation, da er von Startcom und Wosign keine gültigen Zertifikate mehr bekommen kann.

Gefahr von Key-Pinning-Ransomware

Ein weiteres Problem wurde auf der Def Con letztes Jahr unter dem Namen RansomPKP diskutiert. Die Idee dabei: Ein Angreifer, der einen Webserver hackt, könnte eine Webseite eine Zeit lang mit einem vom Angreifer ausgestellten Zertifikat und Key pinnen und anschließend den Schlüssel löschen. Anschließend fordert er vom Besitzer der Webseite ein Lösegeld für die Herausgabe des privaten Schlüssels. Bei RansomPKP handelt es sich bislang allerdings wohl nur um ein theoretisches Szenario. Tatsächliche derartige Angriffe sind bislang nicht bekannt geworden.

Es stellte sich zudem heraus, dass sehr viele Webseiten ungültige HPKP-Header verschickten, beispielsweise solche, die überhaupt keinen gültigen Schlüssel enthielten, oder syntaktisch inkorrekte Header. Ein deutlicher Hinweis darauf, dass die relativ einfach erscheinende Logik von vielen Webmastern nicht nachvollzogen werden konnte, oder dass diese die Header einfach aus irgendwelchen Anleitungen kopiert haben, ohne genau zu verstehen, was sie damit machen.

Der TLS-Experte Ivan Ristic hatte vor einem Jahr bereits die Frage gestellt, ob angesichts dieser vielen Probleme HPKP tot sei. Ristic versuchte sich zuletzt noch daran, verschiedene Vorschläge zu machen, wie man HPKP verbessern könnte.

Bei Chrome ist man jedoch inzwischen wohl zu der Überzeugung gelangt, dass HPKP generell nicht mehr sinnvoll ist. Die jetzigen Kritiker wie Chris Palmer und Ryan Sleevi sind übrigens selbst Mitautoren von HPKP. Auch die statischen Pins sollen langfristig aus Chrome verschwinden, allerdings erst dann, wenn Certificate Transparency für alle Zertifikate verpflichtend vorgeschrieben ist.

Insgesamt dürfte es damit für die Zukunft von HPKP düster aussehen. Safari und Edge unterstützen das Feature bisher sowieso nicht. Es bleiben noch Firefox und Opera, die HPKP unterstützen.

Certificate Transparency statt HPKP

Statt HPKP setzt man jetzt bei Chrome vor allem auf Certificate Transparency, um dem Fehlverhalten von Zertifizierungsstellen zu begegnen. Das Konzept von Certificate Transparency ist es, sämtliche HTTPS-Zertifikate in öffentlich einsehbaren und überprüfbaren Logs zu speichern. Certificate Transparency gibt Webseitenbesitzern die Möglichkeit, die Logs nach Zertifikaten für ihre Webseiten zu durchsuchen, die sie nicht selbst beantragt haben.

Die Hoffnung: Da Browser inzwischen immer härter gegen Fehlverhalten von Zertifizierungsstellen vorgehen, haben diese einen hohen Anreiz, fehlerhafte Zertifikatsausstellungen zu verhindern, da diese durch Certificate Transparency praktisch immer auffliegen dürften. Certificate Transparency kann anders als HPKP die Nutzung von fehlerhaft ausgestellten Zertifikaten nicht verhindern. Aber dafür kann man damit auch weniger falsch machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

MarioWario 31. Okt 2017

Stimmt :-) - mir ging's darum das sich nix verbessert hat bezüglich der Inhalte von dem...

My1 30. Okt 2017

naja ich muss chon sagen dass die nummer die chrome gemacht hat schon etwas schief ist...

My1 30. Okt 2017

wie schon im artikel steht, kann man sich damit seine seite einfach zerbomben, aber dem...

Schnarchnase 30. Okt 2017

Ja DANE ist aktuell die beste Lösung die wir haben, allerdings ist das kein Pinning, da...

Gandalf2210 30. Okt 2017

Mit seinen ständigen Zertifikaten. Erst meckert der, dass mein Router ein selbst...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /