HTTP-julkisen avaimen kiinnitys

HTTP Public Key Pinning  ( HPKP ) on suojausmekanismi, joka suojaa verkkosivustoja identiteettivarkauksilta vaarantuneiden varmentajien myöntämiltä petollisilta varmenteilta. HPKP: n määrittelee RFC  7469. Se on nyt vanhentunut Chromessa, joka suosittelee sen sijaan Expect-CT HTTP -otsikon käyttöä.

Operaatio

Ensimmäisen onnistuneen yhteyden yhteydessä sivusto esittää luettelon, joka edustaa luottamusavaimia. Selain tallentaa tämän luettelon.

Jos esitettyä salausavainta ei ole seuraavien yhteyksien aikana tallennetussa luettelossa, selain hylkää yhteyden ja estää sivuston ja muodostaa sitten yhteyden siihen uudelleen.

Asettaa

Palvelimen on esitettävä Public-Key-Pins HTTP -otsikko, joka osoittaa:

• Luettelo luotettavista avaimista
• Luettelon tallennusaika

Luotettavia avaimia edustavan luettelon on oltava voimassa sekä avain, jota käytetään tällä hetkellä, että käyttämätön avain (jota kutsutaan myös varmuuskopioavaimeksi).

Selaimen tuki

HPKP: tä tukee Firefox , Opera , mutta ei Internet Explorer / Edge . Chrome on ilmoittanut suunnitelmistaan ​​poistaa HPKP inlokakuu 2017, hylkäsi sen huhtikuussa 2018 versiossa 67 ja lopetti sen tukemisen joulukuussa 2018 versiossa 72.

Katso myös

• Tiukka HTTP-tietoturva

Ulkoiset linkit

• (en) - Julkisen avaimen kiinnittäminen Mozilla Devlopper -verkkoon
• RFC 7469: Julkisen avaimen kiinnityslaajennus HTTP: lle ( RFC  7469) Stéphane Bortzmeyerin blogissa

Viitteet

1. (fi) Kommenttipyyntö n o  7469 .
2. (fi-FI) "  HTTP Public Key Pinning (HPKP)  " , Mozilla Developer Network -verkosta ( luettu 27. toukokuuta 2017 )
3. https://dev.modern.ie/platform/status/publickeypinningextensionforhttp/
4. "  Google-ryhmät  " osoitteessa groups.google.com (käytetty 22. lokakuuta 2019 )
5. (in) "  poistot ja poistot Chrome 67: ssä | Web  ” , Google-kehittäjät (käytetty 22. lokakuuta 2019 )
6. (in) "  poistot ja poistot Chrome 72: ssä Web  ” , Google-kehittäjät (käytetty 22. lokakuuta 2019 )