В Chrome планируют удалить поддержку технологии PKP (Public Key Pinning)
Компания Google представила план прекращения поддержки механизма привязки открытых ключей (PKP, Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Прекращение поддержки HTTP-заголовка Public-Key-Pins, позволяющего сайтам определять привязки ключей, запланировано в выпуске Chrome 67, который ожидается 29 мая 2018 года. В дальнейшем, после внедрения для всех сертификатов проверки через механизм Certificate Transparency, ожидается удаление поддержки и ручных привязок.
В качестве причины прекращения поддержки PKP указывается на то, что данная технология не оправдала себя и почти не применяется на практике из-за трудности внедрения на сайтах (сложно подобрать корректный набор ключей для закрепления) и высокой цены ошибок в настройке, которые могут привести к недоступности сайта в случае привязки не тех ключей или применения другого сертификата на сайте. Кроме того, PKP может применяться для осуществления некоторых видов атак. Например, для скрытой идентификации пользователей или для вымогательства после взлома сайтов.
Утверждается, что прекращение поддержки PKP не сопряжено с риском нарушения обратной совместимости, так как это не скажется на работе сайтов. Кроме того, PKP до сих пор не поддерживается в Edge и Safari, а также имеет минимальный уровень внедрения — из миллиона крупнейших сайтов по рейтингу Alex заголовок Public-Key-Pins выставляют только 375 сайта. Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency. В отличие от HTTP-заголовка Public-Key-Pins в Expect-CT предусмотрена возможность отмены ошибочных привязок. Кроме того, Expect-CT уже применяется рядом удостоверяющих центров.
© OpenNet