Wachsende Kritik an Public Key Pinning für HTTPS
Für die alle die vorhaben Public Key Pinning einzusetzen, eine interessante Info über nicht zu unterschätzende Angriffswege beim Einsatz.
http://www.heise.de/security/artikel/Wachsende-Kritik-an-Public-Key-Pin ...
http://www.heise.de/security/artikel/Wachsende-Kritik-an-Public-Key-Pin ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315649
Url: https://administrator.de/forum/wachsende-kritik-an-public-key-pinning-fuer-https-315649.html
Ausgedruckt am: 05.04.2025 um 11:04 Uhr
2 Kommentare
Neuester Kommentar
Moin,
naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.
Ich habe das ganze vor einigen Wochen mal bei mir auf der Webseite eingeschaltet und muss sagen, es funktioniert sehr gut. Nun gut, ist bin nicht den letzten Schritt gegangen und habe es auf explizit mein Leave-Zertifikat gestellt, aber zumindest die CA ist schonmal gepinnt. Ich denke, das sollte für die meisten Reichen, denn hier entstehen auch weniger Probleme, wenn das eigene Zertifikat, doch mal verschütt' geht.
Davon abgesehen, die Einführung ist nicht mal so schwer. Erstmal kann man das ganze mit einem "-Report-only" pin testen. das kann man mal eine Woche laufen lassen und schauen, ob das klappt. Wenn das klappt, nimmt man das "-report-only" weg und ist live unterwegs. Ich muss es zwar noch bei einigen Webseiten nachziehen, aber bisher bin ich sehr zufrieden damit.
Soviel aus dem Produktiveinsatz ;)
Gruß
Chris
naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.
Ich habe das ganze vor einigen Wochen mal bei mir auf der Webseite eingeschaltet und muss sagen, es funktioniert sehr gut. Nun gut, ist bin nicht den letzten Schritt gegangen und habe es auf explizit mein Leave-Zertifikat gestellt, aber zumindest die CA ist schonmal gepinnt. Ich denke, das sollte für die meisten Reichen, denn hier entstehen auch weniger Probleme, wenn das eigene Zertifikat, doch mal verschütt' geht.
Davon abgesehen, die Einführung ist nicht mal so schwer. Erstmal kann man das ganze mit einem "-Report-only" pin testen. das kann man mal eine Woche laufen lassen und schauen, ob das klappt. Wenn das klappt, nimmt man das "-report-only" weg und ist live unterwegs. Ich muss es zwar noch bei einigen Webseiten nachziehen, aber bisher bin ich sehr zufrieden damit.
Soviel aus dem Produktiveinsatz ;)
Gruß
Chris