HPKP - HTTP Public Key Pinning
HTTP Public Key Pinning, kurz HPKP, ist ein Verfahren, um die Integrität von HTTPS-Verbindungen (HTTP mit TLS/SSL) zu gewährleisten. Integrität bezieht sich darauf, dass die Daten, die über das Netzwerk gesendet werden, echt und unverändert sind. Es gibt Mechanismen und Verfahren, die die Echtheit der Daten überprüfen und sicherstellen können, um Manipulationen zu verhindern. Wenn die Integrität einer Nachricht oder eines Datenpakets verletzt wird, kann dies bedeuten, dass die Daten auf dem Weg durch das Netzwerk unbemerkt verändert wurden.
HPKP funktioniert so, dass der Webserver dem Browser mitteilt, welche öffentlichen Schlüssel (Public Key) er für die Verschlüsselung der Verbindung verwendet. Der Browser speichert diese Informationen und vergleicht sie bei zukünftigen Verbindungen mit dem Public Key in den erhaltenen Zertifikaten. Wenn ein Zertifikat nicht mit einem der gespeicherten öffentlichen Schlüssel übereinstimmt, wird eine Warnung angezeigt, da dies auf eine mögliche Man-in-the-Middle-Attacke hinweisen könnte.
Vorteile von HPKP
Die Vorteile von HPKP liegen in der Verbesserung der Sicherheit in der Kommunikation mit Webseiten. Durch die Festlegung der akzeptierten öffentlichen Schlüssel kann verhindert werden, dass Angreifer gefälschte Zertifikate verwenden, um sich als legitime Webseite auszugeben. HPKP schützt die Nutzer vor Man-in-the-Middle-Angriffen und Phishing-Versuchen.
- Man-in-the-Middle-Angriffe dienen dazu, die verschlüsselte Kommunikation abzufangen, die Daten zu lesen oder zu manipulieren, ohne das es die Beteiligten bemerken.
- Phishing-Versuche werden verhindert, damit unbedarfte Nutzer ihre Zugangsdaten und Passwörter nicht versehentlich auf einer falschen Webseite eingeben.
Nachteile von HPKP
Die Konfiguration und der Betrieb von HPKP ist sehr komplex und kann falsch konfiguriert, fatale Folgen haben. Im schlimmsten Fall sorgt der Server-Betreiber selber dafür, dass auch korrekte Zertifikate von keinem Browser mehr akzeptiert werden, wodurch der Zugriff auf die Webseite nachhaltig blockiert wird.
Fazit
Weil es bei HPKP viel falsch zu machen gibt und katastrophale Folgen für den Server-Betreiber haben kann, hat es sich nicht durchgesetzt und wird auch von keinem Browser unterstützt.
Alternativen
Es gibt alternative Sicherheitsmechanismen und Best Practices, die anstelle von HPKP verwendet werden können, um die Sicherheit der Kommunikation mit Webseiten zu verbessern.
- OCSP - Online Certificate Status Protocol
- CT - Certificate Transparency
- CA-Pinning / Certification Authority Authorization
- DANE - DNS-based Authentication of Named Entities
Weitere verwandte Themen:
- Schwachstellen von SSL und TLS
- SSL - Secure Socket Layer
- TLS - Transport Layer Security
- HTTPS / HTTP Secure
- Sicherheitskonzepte in der Informations- und Netzwerktechnik
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Schützen Sie Ihr Netzwerk
Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen