Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

Angriff nur noch beim ersten Seitenaufruf

Anzeige

Perfekt ist HTTP Public Key Pinning nicht. Wenn ein Besucher zum ersten Mal eine Webseite besucht, kann weiterhin ein Angriff mittels eines gefälschten Zertifikats durchgeführt werden. Doch die Chance auf Erfolg ist viel geringer. Es muss lediglich der erste Verbindungsaufbau mit einer verschlüsselten Webseite abgesichert werden.

Die Idee, beim ersten Besuch einer Webseite bestimmte Sicherheitseigenschaften festzulegen, ist nicht neu. Ähnlich arbeitet HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind. Es ist empfehlenswert, HSTS und HPKP zu kombinieren.

Webseitenbetreiber können sich selbst schaden

HPKP erreicht für HTTPS-Verbindungen einen großen Sicherheitsgewinn, doch es gibt ein nicht zu unterschätzendes Risiko: Ein Webseitenbetreiber, der seine privaten Schlüssel verliert, sperrt möglicherweise unabsichtlich seine Besucher aus. Um dieses Szenario zu vermeiden, zwingt HPKP die Webseitenbetreiber dazu, einen Ersatzschlüssel zu definieren. Ein Pin wird nur akzeptiert, wenn mindestens zwei Schlüssel-Hashes darin angegeben sind. Auf diesen Ersatzschlüssel sollten Firmen sehr gut aufpassen. Sollte aufgrund eines Servereinbruchs oder eines Sicherheitsproblems wie Heartbleed ein neues Zertifikat kurzfristig erstellt werden müssen, kommt der Ersatzschlüssel zum Einsatz.

Hat man alle gepinnten Schlüssel verloren, führt das unter Umständen dazu, dass Besucher die Webseite für mehrere Wochen nicht besuchen können. Für diesen Fall sieht der Standard vor, dass Browser dem Nutzer eine Möglichkeit geben, die Pins selbst wieder zu löschen.

Um das Risiko zu minimieren, kann auch statt des eigenen Schlüssels der Schlüssel der verwendeten Zertifizierungsstelle gepinnt werden. In dem Fall muss nur gewährleistet werden, dass beim Tausch des Zertifikats dieses wieder von derselben Zertifizierungsstelle gekauft wird. Allerdings ist der Sicherheitsgewinn damit geringer. Wird die eigene Zertifizierungsstelle kompromittiert, sind Zertifikatsfälschungen wieder möglich. In so einem Fall wäre es auch sehr unglücklich, wenn die verwendete Zertifizierungsstelle ihren Betrieb einstellt.

Gut geplant werden muss beim Einsatz von HPKP der Austausch von abgelaufenen Zertifikaten. Denn es kann nicht einfach jederzeit ein neues Zertifikat samt neuem Schlüssel eingesetzt werden. Am besten wird für ein neues Zertifikat der bereits hinterlegte Ersatzschlüssel genutzt. Sobald das neue Zertifikat im Einsatz ist, kann der Pin geändert werden. Der Hash für den alten Schlüssel kann wegfallen und durch den Hash eines neuen Reserveschlüssels ersetzt werden.

Bislang nur in Chrome

Genutzt wird der Key-Pinning-Header bislang ausschließlich in Google Chrome und dessen freier Version Chromium. Mozilla Firefox hat kürzlich angekündigt, die Technologie bald zu unterstützen. Unter Chrome kann der Status von Webseiten-Pins über den Aufruf von chrome://net-internals unter dem Menüpunkt HSTS abgefragt werden.

Da das Pinning über einen HTTP-Header realisiert wird, lässt es sich ausschließlich für HTTPS nutzen. Das ist bedauerlich, denn das Problem mit gefälschten Zertifikaten betrifft alle Protokolle. Doch für die Absicherung beispielsweise von Mailverbindungen über POP3, IMAP und SMTP gibt es bislang kein ähnliches System.

Kleine Schritte zur Verbesserung der CA-Sicherheit

Dass beim System der Zertifizierungsstelle gravierende Sicherheitsprobleme bestehen, ist seit vielen Jahren offensichtlich. Trotzdem hat sich bislang wenig getan. Mit HTTP Public Key Pinning könnte sich das ändern. Da der Vorschlag von Google vorangetrieben wird, sind die Chancen nicht schlecht, dass er nicht wie die anderen, ähnlich gelagerten scheitert. Neben HTTP Public Key Pinning hat Google noch ein weiteres System zur Stärkung der Sicherheit von Zertifikaten in Arbeit: Mit Certificate Transparency sollen gefälschte Zertifikate leichter auffindbar werden.

In der Praxis wird HTTP Public Key Pinning noch so gut wie nicht eingesetzt. Wir haben keine einzige größere Webseite gefunden, die bereits jetzt auf entsprechende Pins setzt. Das ist schwer zu verstehen, denn der Sicherheitsgewinn ist enorm.

 HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Frankfurt
  2. IT-Dienstleistungszentrum Berlin, Berlin
  3. trinamiX GmbH, Ludwigshafen
  4. ING-DiBa AG, Nürnberg


Anzeige
Top-Angebote
  1. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)
  2. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  3. Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite nachschauen.

Folgen Sie uns
       


  1. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  2. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  3. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  4. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  5. Pocketbeagle

    Beaglebone passt in die Hosentasche

  6. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  7. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  8. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  9. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  10. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Re: hmm brauch man sowas

    |=H | 10:09

  2. Re: Aus der Ferne...

    Peter Brülls | 10:09

  3. Re: Es nervt!!!

    DetlevCM | 10:07

  4. Re: Schadcode im pflicht Update von Windows 10...

    thecrew | 10:07

  5. Re: Eltern leben in einer Welt aus Angst

    |=H | 10:07


  1. 10:13

  2. 09:56

  3. 09:06

  4. 08:11

  5. 07:21

  6. 18:13

  7. 17:49

  8. 17:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel