HPKP е остарял заглавка за отговор на уеб сигурността, акронимът означава HTTP Public Key Pins. Имаше за цел да попречи на компрометиран или фалшив сертифициращ орган да издаде публично доверен, но контролиран от хакери HTTPS сертификат за уебсайт. При този сценарий хакерите ще могат да дешифрират всеки прихванат HTTPS трафик към засегнатия уебсайт.
Съвет: Заглавките на уеб отговорите са части от метаданни, които сървърът включва, когато отговаря на заявки. Малко подмножество от тях се наричат защитни заглавки, тъй като позволяват и конфигурират различни функции за защита.
Инфраструктурата за сертификати, върху която е изграден HTTPS, се основава на мрежа на доверие. Редица компании действат като сертифициращи органи (CA), които публикуват един или повече основни сертификати. Набор от основни сертификати е включен във всички устройства в хранилище за доверие. Когато уебсайт поиска собствен HTTPS сертификат от CA, сертификатът се подписва от основен сертификат. Когато компютърът ви види HTTPS сертификат, той проверява подписа. Ако сертификатът е подписан от основен сертификат, на който има доверие, тогава вашият компютър също има доверие на HTTPS сертификата.
Съвет: CA може да има и междинни сертификати, подписани от основния сертификат. Тези междинни сертификати могат да се използват и за подписване на HTTPS сертификати за уебсайтове.
Работата на сертифициращия орган е да издава сертификат само когато е потвърдил, че лицето, което ги изисква, е истинският собственик на уебсайта. Идеята с тази структура е, че ако хакер създаде свой собствен сертификат за уебсайт, той няма да бъде подписан от CA, на когото вашият компютър има доверие, и така ще видите предупреждение.
Цялата система за сертифициране разчита на надеждността на сертифициращите органи. Първоначално обаче нямаше ��ащита срещу компрометиране на CA от хакери или измамник и избор на неправилно издаване на сертификати.
HPKP е проектиран да бъде защита срещу тази възможност. Той позволява на уебсайтовете да определят изключителен списък от сертификати, на които може да се има доверие за уебсайта в процес, наречен закрепване. Беше възможно да се закачи основният или междинен сертификат, което по същество позволява на един CA да издава сертификати за уебсайта. Също така беше възможно да се закачи сертификатът на самия уебсайт, предотвратявайки дори правилния CA да издаде друг валиден сертификат.
Технически не самият сертификат е закрепен, а хеш на ключа на сертификата. Хешът е еднопосочна криптографска функция. Това означава, че е възможно да се провери дали сертификатът, представен на браузъра от уебсайта, съвпада с фиксиран сертификат, но не е възможно да се използва хешът за създаване на валиден сертификат.
HPKP изисква да бъдат закрепени поне два ключа, поне един от които трябва да е резервен и да не е в текущата верига от сертификати. Това архивиране ви позволява да конфигурирате плавно предаване към нов сертификат, който не пречи на потребителите да могат да се свързват.
Ако HTTPS сертификатът, представен на браузъра от уебсайта, не съвпада с един от фиксираните сертификати, тогава браузърът трябва да го отхвърли и да попречи на потребителя да заобиколи съобщението за грешка в сертификата.
Заглавката на HPKP има три задължителни части и две незадължителни. Заглавката трябва да бъде озаглавена „Public-Key-Pins“, следващите два или повече сертификата трябва да имат хеш SHA256, кодиран в base64, закрепен във формат „pin-sha256=””“. Последната задължителна част е „max-age“, което е броене в секунди за колко време браузърът трябва да прилага ограниченията.
Съвет: SHA256 е алгоритъмът за хеширане, използван от HPKP. Base64 е набор от знаци с 64 знака: 0-9, az, AZ и специалните знаци „+“ и „/“. „=“ се използва за допълване до последните два знака, ако е необходимо.
Незадължителните настройки са „includeSubDomains“ и „report-uri“. „includeSubDomains инструктира браузъра да приложи HPKP защитите към всеки поддомейн на текущия уебсайт за продължителността на таймера „max-age“. „report-uri“ е функция, която позволява да се посочи уебсайт, където могат да се изпращат отчети за грешки, и е предназначена да помогне за идентифициране и разрешаване на проблеми.
Има втори вариант на заглавката, озаглавен „Public-Key-Pins-Report-Only“. Всичко е същото, обаче, ако се открие грешка, не се предприемат действия освен връщане на съобщение за грешка към браузъра и към „report-uri“, ако е конфигуриран. Вариантът само за отчет е проектиран да даде възможност за пълномащабно тестване на заглавката преди внедряването, при което грешките няма да създават проблеми за потребителите.
HPKP беше остарял поради две основни причини. Имаше два начина, по които заглавката може да причини сериозни проблеми за уебсайта, използващ го, те бяха наречени HPKP Suicide и Ransom PKP.
HPKP Suicide е проблем, при който законните собственици на уебсайта губят достъп до всички закрепени ключове. Това може да се случи чрез случайно изтриване, хакване, вируси, повреда на данни или по много други причини. Поради сложността на правилното внедряване на HPKP и особено поддържането му актуализирано по време на ротации на сертификати, е сравнително лесно да се направи грешка в конфигурацията. С HPKP обаче, ако сбъркате нещата, всички скорошни посетители на вашия уебсайт ще бъдат възпрепятствани да имат достъп до уебсайта ви за продължителността на таймера за „max-age“. Уебсайтът smashingmagazine.com публикува статия, в която подробно описва опита си с точно този проблем, което по същество изведе сайта офлайн за повечето посетители в продължение на четири дни, преди да бъде внедрена корекцията.
Ransom PKP е теоретична атака, при която хакер получава достъп до уеб сървър, след което краде всички доверени сертификати и ключове и след това изисква откуп за връщането им. При нормална настройка можете просто да генерирате нови ключове и сертификати и да накарате уебсайта да работи отново за по-малко от час. С активиран HPKP, обаче, тези ключове са закрепени, ако не можете да предоставите закачен сертификат на потребителите, те няма да имат достъп до уебсайта за времето на таймера за "max-age". В зависимост от конфигурацията и ако съществуват резервни копия, може да е невъзможно да се разреши този проблем.
И при двата проблема новите потребители ще могат да имат достъп до уебсайта както обикновено, тъй като никога не биха видели старата заглавка на HPKP, която инструктира браузъра си да се доверява само на липсващите сертификати. Всички скорошни посетители обаче, като редовни клиенти и читатели, ще трябва да изчакат цялото времетраене на таймера за „максимална възраст“.
Като се има предвид сериозността на тези проблеми и сложността на конфигурацията и поддръжката, използването на заглавката HPKP беше много ниско. В крайна сметка големите браузъри се съгласиха да прекратят поддръжката му изцяло и в рамките на няколко години заглавката на HPKP беше универсално отхвърлена.
Омръзна ли ви от конфликт при синхронизиране на множество профили в Microsoft Edge, който съсипва сърфирането ви? Открийте поетапни решения за разрешаване на грешки при синхронизиране, обединяване на профили и безпроблемно синхронизиране на различни устройства. Работи с най-новите версии на Edge!
Уморени ли сте от грешка „Паузиран акаунт“ в Microsoft Edge Sync, която прекъсва сърфирането ви? Открийте бързи и ефективни стъпки за отстраняване на неизправности, за да възстановите безпроблемната синхронизация на всички устройства. Актуализирано с най-новите корекции за безпроблемно изживяване в Edge.
Справете се с досадната грешка „Неразпознат диск“ за обратно съвместими игри на Xbox Series X|S. Следвайте нашите доказани, стъпка по стъпка решения, за да възстановите незабавно вашата класическа библиотека с игри.
Имате проблеми с грешката при нулиране на ПИН кода в Microsoft Edge за Windows Hello? Открийте подробни решения, за да я разрешите бързо. Възстановете достъпа до браузъра си безпроблемно – актуализиран за най-новите актуализации на Windows.
Имате проблеми с празен бял екран в Microsoft Edge при стартиране? Открийте подробни решения за проблема с празен бял екран в Edge, от бързо нулиране до разширени поправки. Върнете се към плавното сърфиране!
Ръководство стъпка по стъпка за това как да архивирате данни в Microsoft Edge, като отметки, пароли, история и настройки, преди системно нулиране. Защитете основните си данни за сърфиране с лесни и надеждни методи.
Заседнали сте с грешка „Няма сигнал при 60 кадъра в секунда“ в Microsoft Edge Capture Card? Открийте доказани решения за възстановяване на сигнала, плавно достигане на 60 кадъра в секунда и стрийминг без забавяне. Ръководство стъпка по стъпка за незабавни резултати!
Уморени ли сте от досадната грешка при конфигуриране на Microsoft Edge Side-by-Side? Открийте прости, стъпка по стъпка решения, за да я разрешите бързо и да възстановите плавното сърфиране. Актуализирано с най-новите решения!
Заседнали сте с грешка 124 в инсталатора на Microsoft Edge? Получете подробни решения, за да отстраните бързо грешките при инсталиране. Доказани решения за безпроблемна настройка на Edge на Windows. Не са необходими технически умения!
Уморени ли сте от грешка 124 в инсталатора на Microsoft Edge, която блокира инсталирането на Windows 11? Следвайте нашите доказани и лесни решения, за да я разрешите бързо и да възстановите безпроблемното сърфиране. Не са необходими технически познания!
