Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Jürgen Schmidt 72

HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning

HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning

Das Festnageln von Zertifikaten sollte gegen Missbrauch schützen. In der Praxis wurde es jedoch selten eingesetzt. Zu kompliziert und zu fehlerträchtig lautet nun das Verdikt; demnächst soll die Unterstützung aus Chrome wieder entfernt werden.

HTTPS Public Key Pinning (HPKP) ist angetreten, das Web etwas sicherer zu machen. Damit ist es jetzt wohl vorbei. Google mustert den nur wenig genutzten Standard demnächst aus, wie Chrome-Entwickler Chris Palmer in einer Mail ankündigt. Gründe sind die nach wie vor niedrige Verbreitung sowie die Gefahr, seine Nutzer selbst auszusperren. Als Ersatz soll Googles Lieblingsprojekt Certificate Transparency herhalten.

Anzeige

Mit HPKP kann ein Webseitenbetreiber dem Browser seiner Web-Seiten-Besucher mitteilen, dass er immer Zertifikate etwa von Letsencrypt oder RapidSSL verwendet. Taucht beim nächsten Besuch dann ein Zertifikat einer anderen Zertifizierungsstelle auf, läuft etwas schief und der Browser lehnt die offensichtlich kompromittierte Verbindung ab. Das schützt sowohl gegen die von einer CA missbräuchlich ausgestellten Zertifikate als auch vor Einbrüchen in deren Infrastruktur, bei denen sich die Angreifer mit passenden Zertifikaten eindecken. Beides ist in der Praxis schon real vorgekommen.

HPKP hat dennoch keine große Verbreitung gefunden, weil die Einrichtung nicht ganz trivial ist. So fand etwa Scott Helme, dass 2016 von den Top 1 Million Sites von Alexa nur 375 HPKP nutzten; Palmers eigene Scans ergaben sogar noch niedrigere Zahlen. Das Verfahren geriet in den vergangenen Monaten vermehrt in die Kritik, nachdem einige Seitenbetreiber sich selbst beziehungsweise ihre Besucher ausgesperrt hatten. Das kann etwa passieren, wenn ein Seitenbetreiber seine eigenen Schlüssel festnagelt und ihm diese dann wie auch immer abhanden kommen. Oder er legt sich via HPKP auf Intermediate CAs fest und der Zertifizierer nimmt deren Unterschriftszertifikate aus dem Betrieb.

Deshalb soll Chrome mit Version 67, die Ende Mai 2018 fällig wird, die Unterstützung für das dynamische Pinning aufgeben. Die im Browser eingebauten statischen Pins bleiben vorerst erhalten; sie sollen erst verschwinden, wenn alle Zertifikate via Certificate Transparency erfasst sind. Da IE/Edge und Safari das Pinning ohnehin nie unterstützten, bleiben damit nur noch Firefox und Opera. Nachdem sich Mozilla in TLS-Fragen in jüngster Zeit recht eng an Google orientiert, dürfte dies das Ende von HPKP bedeuten. Wer es schon im Einsatz hat, muss sich deshalb jedoch keine Sorgen machen; der Wegfall der Unterstützung hat keine Einschränkung des Betriebs zur Folge.

Als Alternative zum Pinning preist Google sein aktuelles Lieblings-Projekt an: Certificate Transparency (CT) soll mittelfristig alle CAs dazu zwingen, ihre ausgestellten Zertifikate in einem manipulationssicheren Log zu protokollieren. Anders als etwa Pubic-Key-Pinning kann dies den Missbrauch von Zertifikaten nicht verhindern. Google setzt offenbar darauf, dass schon die erzwungene Transparenz letztlich zu mehr Sicherheit führen wird.

TLS und der Einsatz von Zertifikaten stellen hohe Anforderungen auch und vor allem an Administratoren. Mit TLS 1.3, CAA, CT stehen reichlich neue Dinge mit teils fraglichem Nutzen vor der Tür, während viele Server noch längst nicht optimal eingerichtet sind. In unserem TLS-Webinar für Admins am nächsten Dienstag um 11 Uhr fassen wir in einer knappen Stunde den aktuellen Stand der Dinge zusammen und präsentieren konkrete Tipps zur besseren Server-Konfiguration. Die Teilnahme kostet 99 Euro:

(ju)

Anzeige

72 Kommentare

Themen:

Anzeige
  1. Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

  2. Zertifikats-Streit: Symantec gelobt Google Besserung

    Zertifikats-Streit: Symantec gelobt Besserung gegenüber Google

    Symantec geht auf Google zu, deren Webbrowser Chrome SSL-/TLS-Zertifikate der CA bald herunterstufen soll. Die Zertifizierungsstelle will nun regelmäßig Zertifikats-Prüfungen durchführen lassen.

  3. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  4. Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

    Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

    Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. Chrome blockt Zertifikate mit Common Name

    Chrome blockt Zertifikate mit Common Name

    Wenn der seit Jahren etablierte, hauseigene Dienst plötzlich den HTTPS-Zugang verwehrt, liegt das vermutlich an einer Neuerung der aktuellen Chrome-Version: Google erzwingt den Einsatz der RFC-konformen "Subject Alt Names" und viele Admins müssen deshalb jetzt Hand anlegen.

  3. Tor und die versteckten Dienste

    Tor und die versteckten Dienste

    Das Tor-Netz ist eigentlich für seine Anonymität spendende Funktion bekannt; weniger verbreitet ist das Wissen, dass und wie es auch die Abhörsicherheit erhöhen kann.

  1. Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Wie blau sind die Meere, wie grün ist das Land? Ein neuer Satellit schließt daraus auf den Zustand der Erde. Doch der Start ist auch das Ende eines ungewöhnlichen russisch-europäischen Friedensprojektes.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

  4. Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Mit Hilfe der Übernahme des österreichischen Unternehmens ZKW will LG eine weltweite Führungsrolle in der Beleuchtung für selbstfahrende Autos übernehmen.

Anzeige