Новость

15-11-17

Google планируют удалить поддержку HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) представляет собой стандарт безопасности, который заставляет браузеры принимать только определенные «привязанные» (pinned) публичные ключи при посещении хоста в течение фиксированного периода времени. Эта функция была введена Google в 2015 году. Однако она так и не смогла завоевать популярность.

Крис Палмер написал в блоге Chromium пост о том, что HPKP мертв. Google планируют убрать поддержку HPKP примерно в релизе Chrome 67 (по плану должен выйти в следующем мае). Полная поддержка HPKP была реализована только в Chrome и Opera из крупных браузеров. Firefox так и не закончили развертывание поддержки HPKP, а Apple и Microsoft даже не начинали этого делать.

В качестве второго шага разработчики Chrome планируют полностью удалить поддержку для встроенных PKP («статичных пинов»). Сделано это будет к тому моменту, как Chrome будет требовать выполнение прозрачности сертификатов (Certificate Transparency) для всех публичных сертификатов. Пока конкретных дат по этому решению не было названо. 

Почему приняли решение отказаться от HPKP

Все сводится к тому, что HPKP – это неудобный способ выполнения нескольких действий, которые уже прекрасно реализованы с помощью других механизмов или протоколов.

Проблемы HPKP следующие:

  • Сложно настроить набор пинов, который будет гарантированно работать, поскольку все CA и хранилища доверия работают по-разному.
  • Есть риск сделать сайт неработающим (из-за создания неверного набора пинов).
  • Есть риск пиннинга ошибочного сертификата, который был выпущен злоумышленниками.

По словам Палмера, для защиты от выпуска ошибочных сертификатов веб-разработчики должны использовать заголовок Expect-CT с его возможностью отчетов. Expect-CT более безопасен, нежели HPKP, поскольку можно восстанавливаться после любых ошибок конфигурации. Плюс ко всему, Expect-CT имеет встроенную поддержку со стороны многих CA.

Подписывайтесь на обновления LeaderSSL, чтобы всегда оставаться в курсе событий из мира онлайн-безопасности и SSL.