HPKP - HTTP Public Key Pinning
HTTP Public Key Pinning, kurz HPKP, ist ein Verfahren, um die Integrität von HTTPS-Verbindungen (HTTP mit TLS/SSL) zu gewährleisten. Integrität bezieht sich darauf, dass die Daten, die über das Netzwerk gesendet werden, echt und unverändert sind. Es gibt Mechanismen und Verfahren, die die Echtheit der Daten überprüfen und sicherstellen können, um Manipulationen zu verhindern. Wenn die Integrität einer Nachricht oder eines Datenpakets verletzt wird, kann dies bedeuten, dass die Daten auf dem Weg durch das Netzwerk unbemerkt verändert wurden.
HPKP funktioniert so, dass der Webserver dem Browser mitteilt, welche öffentlichen Schlüssel (Public Key) er für die Verschlüsselung der Verbindung verwendet. Der Browser speichert diese Informationen und vergleicht sie bei zukünftigen Verbindungen mit dem Public Key in den erhaltenen Zertifikaten. Wenn ein Zertifikat nicht mit einem der gespeicherten öffentlichen Schlüssel übereinstimmt, wird eine Warnung angezeigt, da dies auf eine mögliche Man-in-the-Middle-Attacke hinweisen könnte.
Vorteile von HPKP
Die Vorteile von HPKP liegen in der Verbesserung der Sicherheit in der Kommunikation mit Webseiten. Durch die Festlegung der akzeptierten öffentlichen Schlüssel kann verhindert werden, dass Angreifer gefälschte Zertifikate verwenden, um sich als legitime Webseite auszugeben. HPKP schützt die Nutzer vor Man-in-the-Middle-Angriffen und Phishing-Versuchen.
- Man-in-the-Middle-Angriffe dienen dazu, die verschlüsselte Kommunikation abzufangen, die Daten zu lesen oder zu manipulieren, ohne das es die Beteiligten bemerken.
- Phishing-Versuche werden verhindert, damit unbedarfte Nutzer ihre Zugangsdaten und Passwörter nicht versehentlich auf einer falschen Webseite eingeben.
Nachteile von HPKP
Die Konfiguration und der Betrieb von HPKP ist sehr komplex und kann falsch konfiguriert, fatale Folgen haben. Im schlimmsten Fall sorgt der Server-Betreiber selber dafür, dass auch korrekte Zertifikate von keinem Browser mehr akzeptiert werden, wodurch der Zugriff auf die Webseite nachhaltig blockiert wird.
Fazit
Weil es bei HPKP viel falsch zu machen gibt und katastrophale Folgen für den Server-Betreiber haben kann, hat es sich nicht durchgesetzt und wird auch von keinem Browser unterstützt.
Alternativen
Es gibt alternative Sicherheitsmechanismen und Best Practices, die anstelle von HPKP verwendet werden können, um die Sicherheit der Kommunikation mit Webseiten zu verbessern.
- OCSP - Online Certificate Status Protocol
- CT - Certificate Transparency
- CA-Pinning / Certification Authority Authorization
- DANE - DNS-based Authentication of Named Entities
Weitere verwandte Themen:
- Schwachstellen von SSL und TLS
- SSL - Secure Socket Layer
- TLS - Transport Layer Security
- HTTPS / HTTP Secure
- Sicherheitskonzepte in der Informations- und Netzwerktechnik
Lernen mit Elektronik-Kompendium.de
Noch Fragen?
Bewertung und individuelles Feedback erhalten
Aussprache von englischen Fachbegriffen
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Alles was du über Netzwerktechnik wissen solltest.
