Af Torben B. Sørensen, 31/10/17
Google oplyser, at firmaet planlægger at droppe understøttelsen af HPKP (HTTP Public Key Pinning) i Chrome version 67. Den ventes færdig den 29. maj 2018.
HPKP er en metode til at forhindre forfalskede certifikater. Den fungerer ved, at en webserver fortæller browsere, hvilke certifikatudstedere der har lov til at udstede certifikater for serverens domæne.
I praksis har metoden vist sig at have nogle utilsigtede følgevirkninger. Nogle administratorer af websteder har således fået problemer, når de har opdateret certifikater.
Scott Helme, der er specialist i webserversikkerhed, beskrev nogle af problemerne i et blogindlæg i august med titlen "I'm giving up on HPKP".
Foruden den dynamiske key pinning i HPKP planlægger Google også at fjerne statisk key pinning. Det er endnu ikke afklaret, hvornår det vil ske.
Anbefaling
Undlad at bruge HPKP. Hvis I har brugt det, bør I følge anbefalinger for at slå det fra på sikker vis.
Links
- Intent To Deprecate And Remove: Public Key Pinning, Google
- I'm giving up on HPKP, blogindlæg af Scott Helme
- Be Afraid Of HTTP Public Key Pinning (HPKP), blogindlæg af Mathias Biilmann Christensen
- How To Issue A New SSL Certificate With An Old SSL Key, blogindlæg af Mathias Biilmann Christensen
- Google to Remove Public Key Pinning (PKP) Support in Chrome, artikel fra Bleeping Computer
- RIP HPKP: Google abandons public key pinning, artikel fra The Register
- Google to Ditch Public Key Pinning in Chrome, artikel fra Kaspersky Threatpost