The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.10.2017 23:07  В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)

Компания Google представила план прекращения поддержки механизма привязки открытых ключей (PKP, Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Прекращение поддержки HTTP-заголовка Public-Key-Pins, позволяющего сайтам определять привязки ключей, запланировано в выпуске Chrome 67, который ожидается 29 мая 2018 года. В дальнейшем, после внедрения для всех сертификатов проверки через механизм Certificate Transparency, ожидается удаление поддержки и ручных привязок.

В качестве причины прекращения поддержки PKP указывается на то, что данная технология не оправдала себя и почти не применяется на практике из-за трудности внедрения на сайтах (сложно подобрать корректный набор ключей для закрепления) и высокой цены ошибок в настройке, которые могут привести к недоступности сайта в случае привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома). Кроме того, PKP может применяться для осуществления некоторых видов атак. Например, для скрытой идентификации пользователей или для вымогательства после взлома сайтов (после получения доступа атакующие могут включить HPKP со своими ключами, что не даст вернуться к нормальной работе после возвращения управления и позволит атаковавшим вымогать деньги за предоставление привязанных ключей).

Утверждается, что прекращение поддержки PKP не сопряжено с риском нарушения обратной совместимости, так как это не скажется на работе сайтов. Кроме того, PKP до сих пор не поддерживается в Edge и Safari, а также имеет минимальный уровень внедрения - из миллиона крупнейших сайтов по рейтингу Alexa заголовок Public-Key-Pins выставляют только 375 сайтов.

Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency. В отличие от HTTP-заголовка Public-Key-Pins в Expect-CT предусмотрена возможность отмены ошибочных привязок. Certificate Transparency базируется на идее ведения публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений. Expect-CT ссылается на валидные записи в логах Certificate Transparency, которые уже ведутся рядом удостоверяющих центров, включая StartCom, WoSign, DigiCert и Comodo.

  1. Главная ссылка к новости (https://groups.google.com/a/ch...)
  2. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  3. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
  4. OpenNews: В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти привязку сертификатов
  5. OpenNews: Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей
  6. OpenNews: Релиз web-браузера Chrome 46
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, AntonAlekseevich, 23:51, 28/10/2017 [ответить] [смотреть все]
  • +1 +/
    Стоит Google отдать должное.
    Убрали ещё 1 механизм из Web'а который игнорируется всеми кроме тех 375 сайтов и их пользователей.
     
  • 1.2, Аноним, 23:59, 28/10/2017 [ответить] [смотреть все]
  • +4 +/
    TL;DR: нехрен админам заботиться о безопасности, CA позаботятся за них.
     
     
  • 2.3, Аноним, 00:29, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +12 +/
    А потом CA такие: "упс, мы прое*али ключи от 100500 сертификатов, но вы нас простите, ладно?.."
     
     
  • 3.5, пох, 00:39, 29/10/2017 [^] [ответить] [смотреть все]
  • –4 +/
    да нет, зачем же Мы просто выдали кому надо а не владельцу сервера очередной ... весь текст скрыт [показать]
     
  • 2.4, пох, 00:36, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    гугль позаботится за них Поскольку весь этот тяжелый бред с прозрачным упомина... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 00:03, 30/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, вот здесь https www certificate-transparency org what-is-ct много говорит... весь текст скрыт [показать]
     
     
  • 4.35, пох, 01:22, 30/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    да-да, говорится много Табличку bullshit можно поднимать после первых десятка... весь текст скрыт [показать]
     
     
  • 5.36, Аноним, 03:12, 30/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Да, эта система пока не выглядит совершенной С одной стороны https www cert... весь текст скрыт [показать]
     
  • 1.7, Аноним, 02:39, 29/10/2017 [ответить] [смотреть все]  
  • +/
    Всё правильно делают Подробнее о проблемах https scotthelme co uk im-giving-... весь текст скрыт [показать]
     
     
  • 2.11, пох, 10:29, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    если у меня взломали сервер и, возможно, сперли все _ваши_ шифрованные данные -... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 14:51, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    твоя позиция понятна, но оглянись вокруг, разве людям в массе работоспособность ... весь текст скрыт [показать]
     
     
  • 4.28, пох, 21:28, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ну так, казалось бы, не пользуйся pkp - доверяй CA, как все э заставь своих ... весь текст скрыт [показать]
     
  • 4.33, Аноним, 23:30, 29/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Лукавое, манипулятивное и, в ряде конкретных случаев, глупое противопоставление ... весь текст скрыт [показать]
     
  • 3.19, xm, 15:49, 29/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Если бы только это К примеру, недавняя история с регистрацией на стороннего чел... весь текст скрыт [показать]
     
     
  • 4.29, пох, 21:31, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ну а чего тебе не нравится ns был зарегистрирован на несуществующий в природе х... весь текст скрыт [показать]
     
  • 2.18, xm, 15:46, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Скотт, конечно, красаучег Но проблему со злоупотреблениями ошибками HPKP можн... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (7)

  • 1.8, Аноним, 03:44, 29/10/2017 [ответить] [смотреть все]  
  • +4 +/
    А, ну понятно ... весь текст скрыт [показать]
     
  • 1.9, Ilya Indigo, 07:40, 29/10/2017 [ответить] [смотреть все]  
  • –3 +/
    Мне это механизм с самого начала не понравился При mitm-атаке заголовок легко п... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 09:40, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А какой механизм защищает от mitm-атак и в каких браузерах он правильно реализов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, пох, 10:37, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    механизм trusted ca, удивительное рядом Но наше индиго-детишко недавно очароват... весь текст скрыт [показать]
     
  • 3.15, Ilya Indigo, 15:29, 29/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Из публичных методов, в которых каждому клиенту не придётся заранее устанавливат... весь текст скрыт [показать]
     
  • 3.20, xm, 15:51, 29/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    1 DNSSEC DANE доверие переносится на уровень регистратора домена 2 Ни в к... весь текст скрыт [показать]
     
  • 1.14, Аноним, 15:15, 29/10/2017 [ответить] [смотреть все]  
  • +5 +/
    Я один из тех, кто проср л проект из-за этой технологии Зарегал домен, поднял в... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 15:30, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Не понял, а почему ты сертификат не бекапил?
     
     
  • 3.22, Аноним, 16:27, 29/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Вначале не бэкапил, ибо не было надобности Если что-то случится, логичнее всего... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 21:36, 29/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Минусующие могут внятно объяснить, почему перегенерация сертификата - это плохо,... весь текст скрыт [показать]
     
     
  • 5.31, Аноним, 21:37, 29/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ЗЫ. Я - другой аноним.
     
  • 5.32, пох, 23:07, 29/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    минус не мой, но объясню потому что если у тебя физически накрылся диск - нет н... весь текст скрыт [показать]
     
  • 3.24, пох, 16:45, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Не понял, а почему ты сертификат не бекапил?

    потому же, почему у него "ценный проект" (суперсекьюрный при том) на единственном жестком диске (а у меня пернатый друг и то на 3ware raid).
    Чтоб сразу и волки сыты, и кобыле легче.

     
  • 2.23, пох, 16:43, 29/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Я один из тех, кто проср*л проект из-за этой технологии.

    проект ты прос*л потому что ни бэкапы делать не умел, ни в технологии ничерта не разбирался, ни хотя бы хауту не прочел - на всех углах блин написано, что сигнатура должна и обязана быть не одна. Про дать денег нормальному админу, (не Илье-синюку, который не знал для чего нужны CA,но их таких есть) я уж не заикаюсь.

    Но виновата, конечно же, технология, ага. Ну вот гугль о тебе и позаботился. К сожалению, и о нас тоже.

     
     
  • 3.25, Аноним, 16:56, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Так я и не претендую Я просто говорю, что если бы этой технологии не было, этот... весь текст скрыт [показать]
     
     
  • 4.26, пох, 17:24, 29/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Я просто говорю, что если бы этой технологии не было, этот проект был бы жив

    да не было б ssl - тоже был бы жив ;-)

    причем и по сей день. Вони по поводу "сайт несекьюрен, ой, не ходите сюда" в хромом почти нет - в десктопном так вообще надо стараться, чтобы что-то там заметить. (пока, конечно, ты пароли clear-text'овой вебформой не отправляешь, но за это и в ssl-обертке убивать уже пора)

    в отличии от истории с pkp, когда высовывается страшное окно с непонятными надписями и двумя кнопкам - "еще больше неведомой х..ни" и "загрузить котиков". Кнопки "продолжить" нет в принципе, пользователю незачем решать, что для него опасно, а что нет, гугль лучше знает. (мазила, если что, тоже - редкий юзер осилит удалить пин, даже если ему по буквам диктовать)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor