Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

Angriff nur noch beim ersten Seitenaufruf

Anzeige

Perfekt ist HTTP Public Key Pinning nicht. Wenn ein Besucher zum ersten Mal eine Webseite besucht, kann weiterhin ein Angriff mittels eines gefälschten Zertifikats durchgeführt werden. Doch die Chance auf Erfolg ist viel geringer. Es muss lediglich der erste Verbindungsaufbau mit einer verschlüsselten Webseite abgesichert werden.

Die Idee, beim ersten Besuch einer Webseite bestimmte Sicherheitseigenschaften festzulegen, ist nicht neu. Ähnlich arbeitet HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind. Es ist empfehlenswert, HSTS und HPKP zu kombinieren.

Webseitenbetreiber können sich selbst schaden

HPKP erreicht für HTTPS-Verbindungen einen großen Sicherheitsgewinn, doch es gibt ein nicht zu unterschätzendes Risiko: Ein Webseitenbetreiber, der seine privaten Schlüssel verliert, sperrt möglicherweise unabsichtlich seine Besucher aus. Um dieses Szenario zu vermeiden, zwingt HPKP die Webseitenbetreiber dazu, einen Ersatzschlüssel zu definieren. Ein Pin wird nur akzeptiert, wenn mindestens zwei Schlüssel-Hashes darin angegeben sind. Auf diesen Ersatzschlüssel sollten Firmen sehr gut aufpassen. Sollte aufgrund eines Servereinbruchs oder eines Sicherheitsproblems wie Heartbleed ein neues Zertifikat kurzfristig erstellt werden müssen, kommt der Ersatzschlüssel zum Einsatz.

Hat man alle gepinnten Schlüssel verloren, führt das unter Umständen dazu, dass Besucher die Webseite für mehrere Wochen nicht besuchen können. Für diesen Fall sieht der Standard vor, dass Browser dem Nutzer eine Möglichkeit geben, die Pins selbst wieder zu löschen.

Um das Risiko zu minimieren, kann auch statt des eigenen Schlüssels der Schlüssel der verwendeten Zertifizierungsstelle gepinnt werden. In dem Fall muss nur gewährleistet werden, dass beim Tausch des Zertifikats dieses wieder von derselben Zertifizierungsstelle gekauft wird. Allerdings ist der Sicherheitsgewinn damit geringer. Wird die eigene Zertifizierungsstelle kompromittiert, sind Zertifikatsfälschungen wieder möglich. In so einem Fall wäre es auch sehr unglücklich, wenn die verwendete Zertifizierungsstelle ihren Betrieb einstellt.

Gut geplant werden muss beim Einsatz von HPKP der Austausch von abgelaufenen Zertifikaten. Denn es kann nicht einfach jederzeit ein neues Zertifikat samt neuem Schlüssel eingesetzt werden. Am besten wird für ein neues Zertifikat der bereits hinterlegte Ersatzschlüssel genutzt. Sobald das neue Zertifikat im Einsatz ist, kann der Pin geändert werden. Der Hash für den alten Schlüssel kann wegfallen und durch den Hash eines neuen Reserveschlüssels ersetzt werden.

Bislang nur in Chrome

Genutzt wird der Key-Pinning-Header bislang ausschließlich in Google Chrome und dessen freier Version Chromium. Mozilla Firefox hat kürzlich angekündigt, die Technologie bald zu unterstützen. Unter Chrome kann der Status von Webseiten-Pins über den Aufruf von chrome://net-internals unter dem Menüpunkt HSTS abgefragt werden.

Da das Pinning über einen HTTP-Header realisiert wird, lässt es sich ausschließlich für HTTPS nutzen. Das ist bedauerlich, denn das Problem mit gefälschten Zertifikaten betrifft alle Protokolle. Doch für die Absicherung beispielsweise von Mailverbindungen über POP3, IMAP und SMTP gibt es bislang kein ähnliches System.

Kleine Schritte zur Verbesserung der CA-Sicherheit

Dass beim System der Zertifizierungsstelle gravierende Sicherheitsprobleme bestehen, ist seit vielen Jahren offensichtlich. Trotzdem hat sich bislang wenig getan. Mit HTTP Public Key Pinning könnte sich das ändern. Da der Vorschlag von Google vorangetrieben wird, sind die Chancen nicht schlecht, dass er nicht wie die anderen, ähnlich gelagerten scheitert. Neben HTTP Public Key Pinning hat Google noch ein weiteres System zur Stärkung der Sicherheit von Zertifikaten in Arbeit: Mit Certificate Transparency sollen gefälschte Zertifikate leichter auffindbar werden.

In der Praxis wird HTTP Public Key Pinning noch so gut wie nicht eingesetzt. Wir haben keine einzige größere Webseite gefunden, die bereits jetzt auf entsprechende Pins setzt. Das ist schwer zu verstehen, denn der Sicherheitsgewinn ist enorm.

 HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. MediaMarktSaturn Retail Concepts, Ingolstadt
  2. Völkel Mikroelektronik GmbH, Münster (Nordrhein-Westfalen)
  3. T-Systems International GmbH, verschiedene Standorte
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. John Wick, The Hateful 8, Die Bestimmung, Fifty Shades of Grey, London Has Fallen)
  3. (u. a. Platoon, Erbarmungslos, Training Day, Spaceballs, Einsame Entscheidung)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  2. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  3. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  4. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  5. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  6. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  7. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  8. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  9. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei

  10. 3DMark

    Overhead-Test ersetzt Mantle durch Vulkan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Ab 2018 Cebit findet künftig im Sommer statt
  2. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland
  3. Cloud-Computing Open Source Forum der Cebit widmet sich Openstack

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Ist eine im Internet verbreitetete Sendung...

    Berner Rösti | 14:20

  2. Re: Wozu brauchen wir ein Hasskommentargesetz?

    Wallbreaker | 14:20

  3. Re: Ich betreibe schon lange einen EMail Server

    RipClaw | 14:18

  4. Re: Armes Deutschland

    m_jazz | 14:15

  5. Re: Wir haben auch locker

    Youssarian | 14:14


  1. 14:13

  2. 12:52

  3. 12:39

  4. 09:03

  5. 17:45

  6. 17:32

  7. 17:11

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel