Przypinanie klucza publicznego HTTP

Przypinanie klucza publicznego HTTP  ( HPKP ) to mechanizm bezpieczeństwa, który chroni strony internetowe przed kradzieżą tożsamości przed fałszywymi certyfikatami wydanymi przez przejęte certyfikaty. HPKP jest zdefiniowany w dokumencie RFC  7469. Jest teraz przestarzały w przeglądarce Chrome, która zamiast tego zaleca używanie nagłówka HTTP Expect-CT.

Operacja

Przy pierwszym udanym połączeniu witryna przedstawia listę zawierającą klucze zaufania. Przeglądarka przechowuje tę listę.

Podczas kolejnych połączeń, jeśli prezentowanego klucza szyfrującego nie ma na przechowywanej liście, przeglądarka odmawia połączenia i blokuje witrynę, a następnie ponownie się z nią łączy.

Konfigurowanie

Serwer musi przedstawić nagłówek HTTP Public-Key-Pins wskazujący:

Aby była ważna, lista reprezentująca zaufane klucze musi zawierać aktualnie używany klucz oraz nieużywany klucz (zwany także kluczem zapasowym).

Wsparcie przeglądarki

HPKP jest obsługiwany przez przeglądarki Firefox , Opera , ale nie przez Internet Explorer / Edge . Chrome ogłosił plany usunięcia HPKP wpaździernik 2017, wycofał go w kwietniu 2018 r. w wersji 67 i przestał wspierać go w grudniu 2018 r. w wersji 72.

Zobacz też

Linki zewnętrzne

Bibliografia

  1. (i) Request for Comments n o,  7469 .
  2. (en-US) „  HTTP Public Key Pinning (HPKP)  ” , z Mozilla Developer Network (dostęp: 27 maja 2017 )
  3. https://dev.modern.ie/platform/status/publickeypinningextensionforhttp/
  4. „  Google Groups  ”, na groups.google.com (dostęp 22 października 2019 )
  5. (in) ”  wycofania i usunięcia w przeglądarce Chrome 67 | Web  ” , w Google Developers (dostęp: 22 października 2019 r. )
  6. (in) ”  wycofania i usunięcia w przeglądarce Chrome 72 | Web  ” , w Google Developers (dostęp: 22 października 2019 r. )