Компания Google заявила, что в следующей версии браузера Chrome больше не будет поддерживаться привязка открытых ключей HTTP. Вместо этого он развернет более «безопасное» и гибкое решение — заголовки Expect-CT.

Привязка открытых ключей HTTP (HPKP, HTTP Public Key Pinning) представляет собой одну из защитных мер браузера, которая предотвращает атаки с подменой SSL-сертификата на неправильно выданный или поддельный. Эта технология призвана исключить возможность атаки man-in-the-middle и атак с использованием вредоносных аддонов.

«Сначала будет удалена поддержка PKP через HTTP (динамическая привязка), в ходе которой UserAgent узнает список привязки для хостов по HTTP-заголовкам. Мы планируем сделать это в версии Chrome 67, выпуск которой в стабильной ветке должен состояться 29 мая 2018 года», — написал Крис Палмер (Chris Palmer), старший инженер-программист в Google.

Вот как Google описала технологию HPKP, когда она впервые ввела механизм учета состояния HPKP-настроек: «Стандарт позволяет веб-сайтам отправлять HTTP-заголовки, заставляющие браузер запомнить (или привязать) некоторые звенья используемой цепочки SSL-сертификатов. Впоследствии браузер будет отклонять любые подключения, не соответствующие существующим привязкам».

Спустя два года специалисты Google утверждают, что хотя привязка открытых ключей защищает от неправильно выданных сертификатов, она усложняет администраторам выбор надежного набора ключей для привязки. Более того, компания подчеркнула, что технология PKP так и не получила широкого распространения — из миллиона топовых сайтов по рейтингу Alexa лишь 375 применяют ту или иную разновидность HPKP.

«PKP дает администраторам один из способов борьбы с неправильно выданными сертификатами с помощью веб-механизма (HPKP), ограничивающего перечень удостоверяющих центров (УЦ), которые могут выпускать сертификаты для их домена, — написал Палмер. — Но это, в свою очередь, противоречит принципам Open Web Platform: в частности, выбор УЦ производится браузерами или поставщиками ОС на уровне продукта, а выбор дочерних УЦ, кросс-сертификация и другие аспекты иерархии ИОК осуществляются независимо на уровне УЦ».

Майкл Фаулер (Michael Fowler), руководитель центра сертификации Comodo, отметил, что статические привязки, предварительно встраиваемые в браузеры в виде списка, очень сложно оперативно обновлять и невозможно масштабировать.

«Данная технология плоха тем, что неправильные настройки могут полностью парализовать работу веб-сайта — если сайт привязан к ключам, которые потерялись или больше недоступны, он мгновенно перестанет работать и открываться», — заявил Фаулер в интервью Threatpost.

«Более того, этой особенностью могут воспользоваться вымогатели: взломав веб-сервер и осуществив привязку к ключам, которых у вас нет, они перекроют доступ к сайту и могут потребовать плату за свои ключи».

В пример Фаулер привел случай с порталом Smashing Magazine. Когда его администраторы обновляли истекший SSL-сертификат, они включили HPKP. В результате на них посыпался град жалоб о проблемах в браузерах с устаревшей политикой HPKP, из-за которой при посещении сайта появлялось предупреждение Your connection is not private («Ваше подключение не защищено»). Об этом случае владельцы сайта подробно рассказали в блог-записи Be Afraid Of HTTP Public Key Pinning («Остерегайтесь привязки открытых ключей»).

Вместо HPKP специалисты Google призывают использовать заголовки Expect-CT.

«Чтобы защититься от неправильно выданных сертификатов, веб-разработчики должны использовать заголовок Expect-CT и его функцию отчетности. Метод Expect-CT безопаснее, чем HPKP, поскольку он позволяет легко восстановить ресурс при любых проблемах с конфигурацией. Кроме того, его изначально поддерживает ряд центров сертификации», — отметил Палмер.

Рабочая группа IETF по вопросам применения и развития спецификаций HTTP в своем описании указала, что заголовок Expect-CT позволяет веб-хостингу сообщать браузерам о необходимости проверки подлинности временных меток сертификатов (Signed Certificate Timestamps, SCT), которые будут передаваться при подключении к веб-сайтам.

«Благодаря сочетанию заголовков Expect-CT с активным мониторингом определенных доменов — методу, который предлагает все большее число УЦ и третьих сторон, операторы сайтов могут проактивно обнаруживать неправильно выданные сертификаты на порядок эффективнее, чем с помощью HPKP, сократив при этом риск привнесения ошибок в конфигурацию и исключив возможность подмены привязки».

Категории: Кибероборона