转载:丧钟将至?Chrome宣布将弃用HPKP
发布日期:2017-10-31HTTP公钥固定或HPKP曾是一个被大家热议的标准,但近日谷歌的声明可能标志着该机制死亡的最后一刻。 Chrome已经宣布,他们计划在2018年5月29日之前弃用并删除对HPKP的支持。
HPKP旨在帮助网站运营保护自己免受欺诈或错误颁发的证书。如果一个黑客成功以某种方式哄骗证书颁发机构,或攻破该机构以获得证书,你的域名可能会被这个以不法手段持有证书的人盯上。他们可以装成你,并拦截其他完全安全和加密的流量。
从支持HPKP
笔者曾花费不少时间来支持HPKP,并试图帮助网站运营者理解并部署它。然而即便如此,HPKP的使用率仍然低得可怕。笔者曾为reporturi.io写过一个HPKP工具集合,曾写过一篇设置HPKP的教程以及遇到的失败案例,为的是让人们可以认识到HPKP的风险,甚至搭建一个免费的报告服务让网站可以部署并测试HPKP,而不用担心出任何错。但即便如此,社区也投入更多的努力,HPKP也从未真正起飞。或者说,它就没有飞过,因为一旦部署错误,将对你的网站造成无法弥补的损害。
到选择放弃
笔者写了两篇文章来总结目前的观点。 第一个是“使用安全功能做坏事”,并谈到了RansomPKP的问题。 攻击者可以控制你的网站,并使用HPKP对你进行部署并将访问者锁定到其密钥,从中没有真正的回溯。 尽管在BlackHat和DEF CON被谈论之后,这次攻击最近才获得了大量的实施时间,但HPKP RFC本身就是在第4.5节“敌对固定”中提到的。但撇开这些观点,真正阻碍HPKP发展的依旧是因为太难部署,也是我最终打算放弃它的原因。
真的无法挽回了吗?
如果HPKP有生命,它或许会说:"我还可以抢救一下。"有一些方法可以采取机制和改进机制,使其更安全,但是他们需要大量的协作,协议和最终的支持。 这一切都需要时间,很多时间,所有的问题仍然在那里。Ivan Ristic曾提出疑问:HPKP公钥固定已经死亡了吗?在博文中他提出了两个建议,甚至试图在上个月修正。 修正HPKP与引脚撤销和修复HPKP与证书限制是正确的方向的步骤,但它们仅是马拉松的第一步。
最糟的情况是什么?
近期的一个事件引起了笔者的注意,多个.io TLS名称服务器域忽然可以被注册,并且面向所有被认为是研究人员且拥有.io的用户。如果没有,并且攻击者真的是恶意的,他们可以很容易地控制DNS,解决域名,获取证书并以完全自动的方式激活HPKP! 我们可以在很大程度上遇到RansomPKP。 HPKP将允许攻击者在攻击发生后几个月内坚持破坏并清除。 不得不承认,这会是一个非常糟糕的场景。
如今,广泛社群对Chrome这一做法的反应将是一个有趣的关注点。作为唯一还在支持HPKP的浏览器,Firefox对Chrome的决定应该会有不少思考。
我们还在等待,等待HPKP的一丝曙光。
文章来源:sslchina
相关资讯:
HTTPS/TLS专家指出:不应使用HTTP公钥固定HPKP
HTTP公钥固定(或称为HPKP)是HTTPS最具争议的特性之一。它的设计初衷是为了抵御HTTPS所面临的最严重的威胁之一,但它也给了网站操作人员一个不可思议的强大工具,让...