colinardo
Goto Top

Wachsende Kritik an Public Key Pinning für HTTPS

Für die alle die vorhaben Public Key Pinning einzusetzen, eine interessante Info über nicht zu unterschätzende Angriffswege beim Einsatz.

http://www.heise.de/security/artikel/Wachsende-Kritik-an-Public-Key-Pin ...

Content-ID: 315649

Url: https://administrator.de/forum/wachsende-kritik-an-public-key-pinning-fuer-https-315649.html

Ausgedruckt am: 05.04.2025 um 11:04 Uhr

Sheogorath
Sheogorath 19.09.2016 um 12:18:23 Uhr
Goto Top
Moin,

naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.

Ich habe das ganze vor einigen Wochen mal bei mir auf der Webseite eingeschaltet und muss sagen, es funktioniert sehr gut. Nun gut, ist bin nicht den letzten Schritt gegangen und habe es auf explizit mein Leave-Zertifikat gestellt, aber zumindest die CA ist schonmal gepinnt. Ich denke, das sollte für die meisten Reichen, denn hier entstehen auch weniger Probleme, wenn das eigene Zertifikat, doch mal verschütt' geht.

Davon abgesehen, die Einführung ist nicht mal so schwer. Erstmal kann man das ganze mit einem "-Report-only" pin testen. das kann man mal eine Woche laufen lassen und schauen, ob das klappt. Wenn das klappt, nimmt man das "-report-only" weg und ist live unterwegs. Ich muss es zwar noch bei einigen Webseiten nachziehen, aber bisher bin ich sehr zufrieden damit.

Soviel aus dem Produktiveinsatz ;)

Gruß
Chris
colinardo
colinardo 19.09.2016 aktualisiert um 12:27:16 Uhr
Goto Top
naja, eigentlich geht es ja um einen Angriffsweg, wenn man es nicht einsetzt ;) Denn ist der Pin vorhanden ist für das Angreiferzertifikat Pustekuchen.
Auch auch ein Server der schon damit im Betrieb ist kann von einem Hack betroffen sein , nämlich die User die die Seite bis dato noch nicht besucht haben.

Aber steht ja alles im Artikel.

Grüße Uwe