HPKP meinungen?

...komplette Frage anzeigen

1 Antwort

Beschäftige mich jetzt erst wirklich damit. Und finde eigentlich mehr Nach- als Vorteile, weshalb ich für meinen privaten Bereich bereits entschieden habe es nicht zu nutzen. Im beruflichen Umfeld muss ich es mal noch diskutieren ;)

Nachteile aus meiner Sicht:

  • Ein Hacker könnte jederzeit einen solchen Header in meiner Webseite einfügen und durch manipulierte Werte meine Webseite für Monate unerreichbar machen (zumindest bei den Browsern, die HPKP bisher unterstützen ..)
  • Mangelnde Browserunterstützung: bisher macht es einzig Chrome, im Firefox ist die Technik implementiert aber standardmäßig deaktiviert.
  • Einrichtung ist kompliziert. Automatisiert kann man hier kaum etwas machen. Jeder Schritt sollte dokumentiert sein vor allem wenn man so etwas nur alle 2 Jahre macht. Ist eher etwas für Profis, Ottonormal-Nutzer der zufällig mal ein SSL-Zertifikat hat wird das nicht machen (wenn er denn überhaupt davon erfährt).
  • Da man immer 2 Zertifikate pinnen muss, fällt die Wahl des Backup-Pins schwer. Ich tendiere zum Key für das nächste Zertifikat, erfordert von mir jedoch einen größeres Organisationstalent, da ich ggfs. 2 oder 3 Jahre später noch wissen muss, dass ich einen Key für das zu verlängernde Zertifikat ja schon vorbereitet habe.
  • Für den primären Pin wähle ich das CA-Zertifikat, da es in 95% der Fälle auch bei Zertifikatsverlängerung zutrifft. Die Gültigkeitszeiten von CA-Zertifikat und eigenem Zertifikat könnten sich jedoch überschneiden, wodurch ich bei Verlängerung des Zertifikats ggfs. ein neues CA-Zertifikat zur Einbindung bekomme - und schon wäre meine Webseite nicht mehr erreichbar.
  • Bei Nutzung von Letsencrypt kann man die Technik derzeit gar nicht verwenden.
  • Habe schon Nutzer gesehen die ein Root-Zertifikat als primären Pin eingebunden haben - wo ist da bitte die Sicherheit?

Vlt. ist meine Antwort auch zu später ;)

Antwort bewerten Vielen Dank für Deine Bewertung

Was möchtest Du wissen?