Sicher mit Pin Update

Zertifikats-Pinning auf dem eigenen Server

Praxis & Tipps | Praxis

Dem eigenen Server Certificate Pinning beizubringen, ist ganz einfach. Man erzeugt mit einem Tool den passenden Pin und sagt seinem Server, dass er in Zukunft den zugehörigen Header ausliefern soll – fertig. Doch bei aller Begeisterung – etwas mehr Gedanken sollte man sich als verantwortungsbewusster Admin schon machen.

Mit Public Key Pinning alle sicheren Verbindungen auf einen Schlüssel zu beschränken, erschwert Spionage durch Dritte erheblich (siehe S. 118). Doch es birgt auch die Gefahr, dass ein Großteil der Besucher die HTTPS-Seiten gar nicht mehr aufrufen kann. Mit ein paar Überlegungen vorab und den richtigen Vorkehrungen kann man das verhindern.

Die erste Frage, die man sich stellen sollte, lautet: Welchen Schlüssel will ich überhaupt festnageln? Das ist nicht so trivial, wie es klingt. Denn gemäß der offiziellen Spezifikation zu „Public Key Pinning Extension for HTTP“ in RFC 7469 kann der Server jeden der Public Keys aus der kompletten Zertifikatskette pinnen. In der Grafik auf Seite 119 kommt also der grüne Server-Schlüssel, der blaue der Intermediate-CA oder auch der orange der Root-CA in Frage. Sowohl Firefox als auch Chrome prüften bei unseren Tests auch tatsächlich alle Keys aus dieser Kette und gaben grünes Licht, wenn einer zu den gesetzten Pins passte. ...

Ergänzungen & Berichtigungen

Der Artikel entspricht dem Stand der gedruckten c't. Folgende Änderung hat sich seitdem ergeben:

UPDATE

Firefox und Chrome ignorieren HPKP-Header, die nur einen Pin setzen und damit gegen die RFC-Spezifikation verstoßen. Es ist also nicht nur empfehlenswert, sondern erforderlich, mindestens einen zweiten PIN als Backup anzugeben. Firefox meldet sonst auf der Konsole (Strg-Umschalt-I) "The site specified an invalid Public-Key-Pins header."; Chrome ignoriert auch ansonsten korrekte HPKP-Header mit nur einer Pin stillschweigend.

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Kommentare

Anzeige
Anzeige