Wachsende Kritik an Public Key Pinning für HTTPS
Für die alle die vorhaben Public Key Pinning einzusetzen, eine interessante Info über nicht zu unterschätzende Angriffswege beim Einsatz.
http://www.heise.de/security/artikel/Wachsende-Kritik-an-Public-Key-Pin ...
http://www.heise.de/security/artikel/Wachsende-Kritik-an-Public-Key-Pin ...
Please also mark the comments that contributed to the solution of the article
Content-Key: 315649
Url: https://administrator.de/contentid/315649
Printed on: May 7, 2024 at 09:05 o'clock
2 Comments
Latest comment
Moin,
naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.
Ich habe das ganze vor einigen Wochen mal bei mir auf der Webseite eingeschaltet und muss sagen, es funktioniert sehr gut. Nun gut, ist bin nicht den letzten Schritt gegangen und habe es auf explizit mein Leave-Zertifikat gestellt, aber zumindest die CA ist schonmal gepinnt. Ich denke, das sollte für die meisten Reichen, denn hier entstehen auch weniger Probleme, wenn das eigene Zertifikat, doch mal verschütt' geht.
Davon abgesehen, die Einführung ist nicht mal so schwer. Erstmal kann man das ganze mit einem "-Report-only" pin testen. das kann man mal eine Woche laufen lassen und schauen, ob das klappt. Wenn das klappt, nimmt man das "-report-only" weg und ist live unterwegs. Ich muss es zwar noch bei einigen Webseiten nachziehen, aber bisher bin ich sehr zufrieden damit.
Soviel aus dem Produktiveinsatz ;)
Gruß
Chris
naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.
Ich habe das ganze vor einigen Wochen mal bei mir auf der Webseite eingeschaltet und muss sagen, es funktioniert sehr gut. Nun gut, ist bin nicht den letzten Schritt gegangen und habe es auf explizit mein Leave-Zertifikat gestellt, aber zumindest die CA ist schonmal gepinnt. Ich denke, das sollte für die meisten Reichen, denn hier entstehen auch weniger Probleme, wenn das eigene Zertifikat, doch mal verschütt' geht.
Davon abgesehen, die Einführung ist nicht mal so schwer. Erstmal kann man das ganze mit einem "-Report-only" pin testen. das kann man mal eine Woche laufen lassen und schauen, ob das klappt. Wenn das klappt, nimmt man das "-report-only" weg und ist live unterwegs. Ich muss es zwar noch bei einigen Webseiten nachziehen, aber bisher bin ich sehr zufrieden damit.
Soviel aus dem Produktiveinsatz ;)
Gruß
Chris