HPKP - HTTP Public Key Pinning

HTTP Public Key Pinning, kurz HPKP, ist ein Verfahren, um die Integrität von HTTPS-Verbindungen (HTTP mit TLS/SSL) zu gewährleisten. Integrität bezieht sich darauf, dass die Daten, die über das Netzwerk gesendet werden, echt und unverändert sind. Es gibt Mechanismen und Verfahren, die die Echtheit der Daten überprüfen und sicherstellen können, um Manipulationen zu verhindern. Wenn die Integrität einer Nachricht oder eines Datenpakets verletzt wird, kann dies bedeuten, dass die Daten auf dem Weg durch das Netzwerk unbemerkt verändert wurden.
HPKP funktioniert so, dass der Webserver dem Browser mitteilt, welche öffentlichen Schlüssel (Public Key) er für die Verschlüsselung der Verbindung verwendet. Der Browser speichert diese Informationen und vergleicht sie bei zukünftigen Verbindungen mit dem Public Key in den erhaltenen Zertifikaten. Wenn ein Zertifikat nicht mit einem der gespeicherten öffentlichen Schlüssel übereinstimmt, wird eine Warnung angezeigt, da dies auf eine mögliche Man-in-the-Middle-Attacke hinweisen könnte.

Vorteile von HPKP

Die Vorteile von HPKP liegen in der Verbesserung der Sicherheit in der Kommunikation mit Webseiten. Durch die Festlegung der akzeptierten öffentlichen Schlüssel kann verhindert werden, dass Angreifer gefälschte Zertifikate verwenden, um sich als legitime Webseite auszugeben. HPKP schützt die Nutzer vor Man-in-the-Middle-Angriffen und Phishing-Versuchen.

  • Man-in-the-Middle-Angriffe dienen dazu, die verschlüsselte Kommunikation abzufangen, die Daten zu lesen oder zu manipulieren, ohne das es die Beteiligten bemerken.
  • Phishing-Versuche werden verhindert, damit unbedarfte Nutzer ihre Zugangsdaten und Passwörter nicht versehentlich auf einer falschen Webseite eingeben.

Nachteile von HPKP

Die Konfiguration und der Betrieb von HPKP ist sehr komplex und kann falsch konfiguriert, fatale Folgen haben. Im schlimmsten Fall sorgt der Server-Betreiber selber dafür, dass auch korrekte Zertifikate von keinem Browser mehr akzeptiert werden, wodurch der Zugriff auf die Webseite nachhaltig blockiert wird.

Fazit

Weil es bei HPKP viel falsch zu machen gibt und katastrophale Folgen für den Server-Betreiber haben kann, hat es sich nicht durchgesetzt und wird auch von keinem Browser unterstützt.

Alternativen

Es gibt alternative Sicherheitsmechanismen und Best Practices, die anstelle von HPKP verwendet werden können, um die Sicherheit der Kommunikation mit Webseiten zu verbessern.

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Schützen Sie Ihr Netzwerk

TrutzBox

Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.

  • Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
  • Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
  • Laufende Aktualisierung gegen neue Bedrohungen

Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.

Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen