F

Wie verbessert Public Key Pinning die Security von Websites?

Mit Public Key Pinning verifizieren Webbrowser, dass ein Zertifikat für eine Website von einer sicheren Zertifizierungsstelle ausgestellt wurde.

Was ist Public Key Pinning und wie verbessert es die Security für Webbrowser? In welchen Browsern ist Public Key...

Pinning integriert?

Die Public Key Pinning Extesion für HTTP (HPKP) wurde ursprünglich entwickelt, um MitM-Angriffe (Man-in-the-Middle) zu vermeiden, die falsche SSL-Zertifikate nutzen. Damit steht eine zuverlässigere Methode zur Verfügung, um das digitale Zertifikat eines Webservers zu überprüfen. HPKP erlaubt es Administratoren einer Website, ein Zertifikat oder einen Public Key einer Zertifizierungsstelle (Certificate Authority, CA) an das Zertifikat ihres Servers anzuheften und diese Informationen im HTTP Header zu platzieren. 

Auf diese Weise können Browser überprüfen, ob sich das Zertifikat eines Servers auf der Whitelist einer Zertifizierungstelle befindet. Diese Überprüfung findet während der Verifizierungsphase einer Verbindung statt, also bevor Daten vom Browser verarbeitet werden.

Google Chrome unterstützt Public Key Pinning bereit länger. Google hat damit bereits falsche SSL-Zertifikate aufgedeckt, die von der niederländischen Zertifizierungsstelle DigiNotar ausgestellt wurden und zu MitM-Angriffen auf Anwender im Iran geführt haben. 

Zudem wurden CA-Zertifikate entdeckt, die versehentlich von der türkischen Zertifizierungsstelle TürkTrust ausgestellt wurden. Diese Fehler haben das Vertrauen in die Zertifizierungsinfrastruktur nachhaltig beschädigt und sind ein Grund, warum Browser-Anbieter Public Key Pinning implementiert haben. Neben Google unterstützt Mozilla Firefox das Verfahren. Microsoft plant ebenfalls Public Key Pinning im Internet Explorer beziehungsweise im künftigen Webbrowser Spartan zu implementieren.

Chrome und Firefox enthalten ein integriertes Pinset, also eine Liste akzeptierter Zertifizierungsstellen für große und sichere Websites. Bisher unterstützt allerdings noch kein Browser dynamische Pinsets. Somit muss die Liste mit den akzeptierten CAs für jede gepinnte Domäne während der Erstellung der Anwendung geladen werden. Das wiederum führt zu Problemen bei der Skalierbarkeit und schließt viele Websites aus.

Google und die Mozilla Foundation denken derzeit darüber nach, wie sich dynamische Pinsets am besten unterstützen lassen. Wollen Administratoren ihre Websites für dynamisches Pinning fit machen, müssen sie Public Key Pins HTTP Header zurücksenden, wenn auf die Website via HTTPS zugegriffen wird. Ein Apache Webserver lässt sich zum Beispiel so konfigurieren, dass er nachfolgenden Header zurücksendet. Dieser teilt dem Browser mit, ein spezielles SSL-Zertifikat mit einer Website zu assoziieren:

Header set Public-Key-Pins "pin-sha256=\"base64+info1==\"; pin-sha256=\"backup+pin+here==\"; max-age=15768000; includeSubDomains"

(Hinweis: Hierfür muss das Apache-Modul mod_headers aktiviert sein)

Es wird zudem empfohlen, einen Pin für ein Backup-Zertifikat einzusetzen, das man nicht produktiv verwendet. Somit stellen Sie sicher, dass die Website verfügbar bleibt, sollte das Hauptzertifikat annulliert werden.

Die Reduzierung von Stellen, die eine Domäne während der Lebensdauer eines Pins authentifizieren sowie das Beseitigen der Notwendigkeit, sich auf eine Zertifizierungsstelle für die Verifikation eines Zertifikats oder eines Schlüssels verlassen zu müssen, erhöht letztlich die Sicherheit. Public Key Pinning reduziert den Missbrauch von Zertifikaten und damit auch Fälle von MitM-Angriffe.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close