Викиновости

В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)

28 октября 2017 года

Компания Google представила план прекращения поддержки механизма привязки открытых ключей (PKP, Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Прекращение поддержки HTTP-заголовка Public-Key-Pins, позволяющего сайтам определять привязки ключей, запланировано в выпуске Chrome 67, который ожидается 29 мая 2018 года. В дальнейшем, после внедрения для всех сертификатов проверки через механизм Certificate Transparency, ожидается удаление поддержки и ручных привязок.

В качестве причины прекращения поддержки PKP указывается на то, что данная технология не оправдала себя и почти не применяется на практике из-за трудности внедрения на сайтах (сложно подобрать корректный набор ключей для закрепления) и высокой цены ошибок в настройке, которые могут привести к недоступности сайта в случае привязки не тех ключей или утери ключей (например, случайное удаление или компрометация в результате взлома). Кроме того, PKP может применяться для осуществления некоторых видов атак. Например, для скрытой идентификации пользователей или для вымогательства после взлома сайтов (после получения доступа атакующие могут включить HPKP со своими ключами, что не даст вернуться к нормальной работе после возвращения управления и позволит атаковавшим вымогать деньги за предоставление привязанных ключей).

Утверждается, что прекращение поддержки PKP не сопряжено с риском нарушения обратной совместимости, так как это не скажется на работе сайтов. Кроме того, PKP до сих пор не поддерживается в Edge и Safari, а также имеет минимальный уровень внедрения - из миллиона крупнейших сайтов по рейтингу Alexa заголовок Public-Key-Pins выставляют только 375 сайтов.

Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency. В отличие от HTTP-заголовка Public-Key-Pins в Expect-CT предусмотрена возможность отмены ошибочных привязок. Certificate Transparency базируется на идее ведения публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений. Expect-CT ссылается на валидные записи в логах Certificate Transparency, которые уже ведутся рядом удостоверяющих центров, включая StartCom, WoSign, DigiCert и Comodo.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=В_Chrome_планируют_удалить_поддержку_технологии_PKP_(Public_Key_Pinning)&oldid=8947425