Вакансии компании

10
ЛидерТелеком

01.12.2017

Google планируют удалить поддержку HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) представляет собой стандарт безопасности, который заставляет браузеры принимать только определенные «привязанные» (pinned) публичные ключи при посещении хоста в течение фиксированного периода времени. Эта функция была введена Google в 2015 году. Однако она так и не смогла завоевать популярность.

HTTP Public Key Pinning (HPKP) представляет собой стандарт безопасности, который заставляет браузеры принимать только определенные «привязанные» (pinned) публичные ключи при посещении хоста в течение фиксированного периода времени. Эта функция была введена Google в 2015 году. Однако она так и не смогла завоевать популярность.

Крис Палмер написал в блоге Chromium пост о том, что HPKP мертв. Google планируют убрать поддержку HPKP примерно в релизе Chrome 67 (по плану должен выйти в следующем мае). Полная поддержка HPKP была реализована только в Chrome и Opera из крупных браузеров. Firefox так и не закончили развертывание поддержки HPKP, а Apple и Microsoft даже не начинали этого делать.

В качестве второго шага разработчики Chrome планируют полностью удалить поддержку для встроенных PKP («статичных пинов»). Сделано это будет к тому моменту, как Chrome будет требовать выполнение прозрачности сертификатов (Certificate Transparency) для всех публичных сертификатов. Пока конкретных дат по этому решению не было названо. 

Почему приняли решение отказаться от HPKP

Все сводится к тому, что HPKP – это неудобный способ выполнения нескольких действий, которые уже прекрасно реализованы с помощью других механизмов или протоколов.

Проблемы HPKP следующие:

  • Сложно настроить набор пинов, который будет гарантированно работать, поскольку все CA и хранилища доверия работают по-разному.
  • Есть риск сделать сайт неработающим (из-за создания неверного набора пинов).
  • Есть риск пиннинга ошибочного сертификата, который был выпущен злоумышленниками.

По словам Палмера, для защиты от выпуска ошибочных сертификатов веб-разработчики должны использовать заголовок Expect-CT с его возможностью отчетов. Expect-CT более безопасен, нежели HPKP, поскольку можно восстанавливаться после любых ошибок конфигурации. Плюс ко всему, Expect-CT имеет встроенную поддержку со стороны многих CA.

Подписывайтесь на обновления LeaderSSL, чтобы всегда оставаться в курсе событий из мира онлайн-безопасности и SSL.



Все новости компании
Новости рынка

Comodo EV SSL сертификаты со скидкой более 60%!

Период действия акции *: до 31 января
Comodo EV SSL сертификаты всего за 10 990 руб. / год! Прекрасный способ создать прочный фундамент для защиты пользовательских данных. Только до 31 января!
Читать далее

SSL-сертификат: гарантия безопасного ведения бизнеса

Опубликовано в читальном зале
Опубликовано: 02.03.2016
Рубрика: SSL
При упоминании фразы «защита сайта» на ум неизменно приходит «SSL-сертификат», однако далеко не все знают и представляют себе, что это вообще такое и зачем это требуется. В этой статье мы постараемся максимально просто рассказать про типы SSL-сертификатов и раскрыть все преимущества их использования для владельцев своего онлайн-бизнеса.
Читать далее

Новые вакансии появятся в ближайшее время!


Наверх
Сообщить об ошибке
Описание ошибки: