Abo
  • Services:
Anzeige
Webseiten können Schlüssel künftig mittels Key Pinning festnageln.
Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0)

Angriff nur noch beim ersten Seitenaufruf

Anzeige

Perfekt ist HTTP Public Key Pinning nicht. Wenn ein Besucher zum ersten Mal eine Webseite besucht, kann weiterhin ein Angriff mittels eines gefälschten Zertifikats durchgeführt werden. Doch die Chance auf Erfolg ist viel geringer. Es muss lediglich der erste Verbindungsaufbau mit einer verschlüsselten Webseite abgesichert werden.

Die Idee, beim ersten Besuch einer Webseite bestimmte Sicherheitseigenschaften festzulegen, ist nicht neu. Ähnlich arbeitet HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind. Es ist empfehlenswert, HSTS und HPKP zu kombinieren.

Webseitenbetreiber können sich selbst schaden

HPKP erreicht für HTTPS-Verbindungen einen großen Sicherheitsgewinn, doch es gibt ein nicht zu unterschätzendes Risiko: Ein Webseitenbetreiber, der seine privaten Schlüssel verliert, sperrt möglicherweise unabsichtlich seine Besucher aus. Um dieses Szenario zu vermeiden, zwingt HPKP die Webseitenbetreiber dazu, einen Ersatzschlüssel zu definieren. Ein Pin wird nur akzeptiert, wenn mindestens zwei Schlüssel-Hashes darin angegeben sind. Auf diesen Ersatzschlüssel sollten Firmen sehr gut aufpassen. Sollte aufgrund eines Servereinbruchs oder eines Sicherheitsproblems wie Heartbleed ein neues Zertifikat kurzfristig erstellt werden müssen, kommt der Ersatzschlüssel zum Einsatz.

Hat man alle gepinnten Schlüssel verloren, führt das unter Umständen dazu, dass Besucher die Webseite für mehrere Wochen nicht besuchen können. Für diesen Fall sieht der Standard vor, dass Browser dem Nutzer eine Möglichkeit geben, die Pins selbst wieder zu löschen.

Um das Risiko zu minimieren, kann auch statt des eigenen Schlüssels der Schlüssel der verwendeten Zertifizierungsstelle gepinnt werden. In dem Fall muss nur gewährleistet werden, dass beim Tausch des Zertifikats dieses wieder von derselben Zertifizierungsstelle gekauft wird. Allerdings ist der Sicherheitsgewinn damit geringer. Wird die eigene Zertifizierungsstelle kompromittiert, sind Zertifikatsfälschungen wieder möglich. In so einem Fall wäre es auch sehr unglücklich, wenn die verwendete Zertifizierungsstelle ihren Betrieb einstellt.

Gut geplant werden muss beim Einsatz von HPKP der Austausch von abgelaufenen Zertifikaten. Denn es kann nicht einfach jederzeit ein neues Zertifikat samt neuem Schlüssel eingesetzt werden. Am besten wird für ein neues Zertifikat der bereits hinterlegte Ersatzschlüssel genutzt. Sobald das neue Zertifikat im Einsatz ist, kann der Pin geändert werden. Der Hash für den alten Schlüssel kann wegfallen und durch den Hash eines neuen Reserveschlüssels ersetzt werden.

Bislang nur in Chrome

Genutzt wird der Key-Pinning-Header bislang ausschließlich in Google Chrome und dessen freier Version Chromium. Mozilla Firefox hat kürzlich angekündigt, die Technologie bald zu unterstützen. Unter Chrome kann der Status von Webseiten-Pins über den Aufruf von chrome://net-internals unter dem Menüpunkt HSTS abgefragt werden.

Da das Pinning über einen HTTP-Header realisiert wird, lässt es sich ausschließlich für HTTPS nutzen. Das ist bedauerlich, denn das Problem mit gefälschten Zertifikaten betrifft alle Protokolle. Doch für die Absicherung beispielsweise von Mailverbindungen über POP3, IMAP und SMTP gibt es bislang kein ähnliches System.

Kleine Schritte zur Verbesserung der CA-Sicherheit

Dass beim System der Zertifizierungsstelle gravierende Sicherheitsprobleme bestehen, ist seit vielen Jahren offensichtlich. Trotzdem hat sich bislang wenig getan. Mit HTTP Public Key Pinning könnte sich das ändern. Da der Vorschlag von Google vorangetrieben wird, sind die Chancen nicht schlecht, dass er nicht wie die anderen, ähnlich gelagerten scheitert. Neben HTTP Public Key Pinning hat Google noch ein weiteres System zur Stärkung der Sicherheit von Zertifikaten in Arbeit: Mit Certificate Transparency sollen gefälschte Zertifikate leichter auffindbar werden.

In der Praxis wird HTTP Public Key Pinning noch so gut wie nicht eingesetzt. Wir haben keine einzige größere Webseite gefunden, die bereits jetzt auf entsprechende Pins setzt. Das ist schwer zu verstehen, denn der Sicherheitsgewinn ist enorm.

 HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

eye home zur Startseite
Vanger 10. Nov 2014

Jede Stelle im DNS-Baum hat bei DNSSEC grundsätzlich Kontrolle über alle ihm...

nudel 17. Okt 2014

Außerdem fallen so, durch Mitteilung des aktuellen Zertifikats und der zukünftigen...

hannob (golem.de) 14. Okt 2014

Ja, werden sie, im Prinzip überall wo TLS/SSL genutzt wird. Beispielsweise für POP3...

heutger 14. Okt 2014

Diginotar hat das Ausmaß der Fehlausstellungen stets heruntergespielt, Comodo wurde...

nicoledos 14. Okt 2014

Wenn die Zertifizierungsstellen diese Ausgeben sind diese möglicherweise Falsch, aber...



Anzeige

Stellenmarkt
  1. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  2. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. T-Systems International GmbH, Berlin, Bonn


Anzeige
Spiele-Angebote
  1. (-78%) 7,99€
  2. 44,99€ (Vorbesteller-Preisgarantie)
  3. 389,99€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Meine Erfahrung als Störungssucher in Luxemburg

    AndyWeibel | 14:26

  2. Re: Unangenehme Beiträge hervorheben statt zu...

    BLi8819 | 14:25

  3. Re: Schadensersatzpflicht für fahrlässige...

    aLpenbog | 14:23

  4. Re: Unser Loggmittel?

    Theoretiker | 14:22

  5. Kenne ich

    kotzwuerg | 14:21


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel