HPKP er en forældet websikkerhedssvarheader, akronymet står for HTTP Public Key Pins. Det var beregnet til at forhindre en kompromitteret eller useriøs certifikatmyndighed i at udstede et offentligt betroet, men hackerkontrolleret, HTTPS-certifikat til et websted. I dette scenarie ville hackerne være i stand til at dekryptere enhver opsnappet HTTPS-trafik til det berørte websted.
Tip: Websvar-headere er stykker metadata, som serveren inkluderer, når den besvarer anmodninger. En lille delmængde af disse kaldes sikkerhedsheadere, da de aktiverer og konfigurerer forskellige sikkerhedsfunktioner.
Certifikatinfrastrukturen, som HTTPS er bygget på, er baseret på et tillidsnet. En række virksomheder fungerer som Certificate Authorities (CA), som udgiver et eller flere rodcertifikater. Et sæt rodcertifikater er inkluderet i alle enheder i en tillidsbutik. Når et websted anmoder om sit eget HTTPS-certifikat fra en CA, signeres certifikatet af et rodcertifikat. Når din computer ser et HTTPS-certifikat, tjekker den signaturen. Hvis certifikatet er signeret af et rodcertifikat, det har tillid til, stoler din computer også på HTTPS-certifikatet.
Tip: Et CA kan også have mellemliggende certifikater, der er signeret af rodcertifikatet. Disse mellemliggende certifikater kan også bruges til at signere HTTPS-certifikater til websteder.
En certifikatmyndigheds opgave er kun at udstede et certifikat, når de har bekræftet, at den person, der anmoder om dem, er den ægte ejer af webstedet. Ideen med denne struktur er, at hvis en hacker opretter deres eget certifikat til et websted, vil det ikke blive underskrevet af en CA, som din computer har tillid til, og du vil derfor se en advarsel.
Hele certifikatsystemet er afhængigt af certifikatmyndighedernes troværdighed. Oprindeligt var der dog ingen beskyttelse mod, at en CA blev kompromitteret af hackere eller blev useriøs og valgte at udstede certifikater forkert.
HPKP er designet til at være en beskyttelse mod denne mulighed. Det giver websteder mulighed for at angive en eksklusiv liste over certifikater, der kan stoles på for webstedet i en proces, der kaldes pinning. Det var muligt at fastgøre rod- eller mellemcertifikatet, hvilket i det væsentlige tillod en enkelt CA at udstede certifikater til webstedet. Det var også muligt at fastgøre certifikatet for selve webstedet, hvilket forhindrede selv den rigtige CA i at udstede et andet gyldigt certifikat.
Teknisk set er det ikke selve certifikatet, der er fastgjort, men en hash af certifikatets nøgle. En hash er en envejs kryptografisk funktion. Det betyder, at det er muligt at verificere, at det certifikat, der præsenteres for browseren af webstedet, matcher et fastgjort certifikat, men det er ikke muligt at bruge hashen til at lave et gyldigt certifikat.
HPKP krævede, at mindst to nøgler blev fastgjort, hvoraf mindst én skal være en backup og ikke i den aktuelle certifikatkæde. Denne backup giver dig mulighed for at konfigurere en jævn overdragelse til et nyt certifikat, der ikke forhindrer brugere i at kunne oprette forbindelse.
Hvis HTTPS-certifikatet, der præsenteres for browseren af webstedet, ikke matcher et af de fastgjorte certifikater, er browseren forpligtet til at afvise det og forhindre brugeren i at omgå certifikatfejlmeddelelsen.
HPKP-headeren har tre obligatoriske dele og to valgfrie. Overskriften skal have titlen "Public-Key-Pins", de næste to eller flere certifikater skal have en base64-kodet SHA256-hash fastgjort i formatet 'pin-sha256=""". Den sidste obligatoriske del er "max-age", som er en optælling i sekunder for, hvor længe browseren skal anvende begrænsningerne for.
Tip: SHA256 er hashing-algoritmen, der bruges af HPKP. Base64 er et tegnsæt med 64 tegn: 0-9, az, AZ og specialtegnene "+" og "/". "=" bruges til at udfylde op til de sidste to tegn, hvis det er nødvendigt.
De valgfrie indstillinger er "includeSubDomains" og "report-uri". "includeSubDomains instruerer browseren om at anvende HPKP-beskyttelsen på et hvilket som helst underdomæne på det aktuelle websted i varigheden af "max-age"-timeren. "report-uri" er en funktion, der gør det muligt at specificere et websted, hvor fejlrapporter kan sendes, og er designet til at hjælpe med at identificere og løse problemer.
Der er en anden variant af overskriften med titlen "Public-Key-Pins-Report-Only". Alt er det samme, men hvis der findes en fejl, foretages der ingen handling ud over at returnere en fejlmeddelelse til browseren og til "report-uri", hvis en er konfigureret. Den eneste rapportvariant blev designet til at muliggøre fuldskala-test af headeren før implementering, hvor fejl ikke ville forårsage problemer for brugerne.
HPKP blev forældet af to hovedårsager. Der var to måder, hvorpå overskriften kunne forårsage alvorlige problemer for webstedet, der brugte det, disse blev navngivet HPKP Selvmord og Ransom PKP.
HPKP Selvmord er et problem, hvor de legitime ejere af webstedet mister adgangen til alle de fastgjorte nøgler. Dette kan ske ved utilsigtet sletning, hacking, virus, datakorruption eller af mange andre årsager. På grund af kompleksiteten i at implementere HPKP korrekt, og især at holde det opdateret under certifikatrotationer, er det relativt nemt at lave en konfigurationsfejl. Men med HPKP, hvis du tager fejl, vil alle nylige besøgende på din hjemmeside blive forhindret i at få adgang til din hjemmeside i længden af "max-age" timeren. Hjemmesiden smashingmagazine.com postede en artikel, der beskriver dets oplevelse med netop dette problem, som i det væsentlige tog webstedet offline for de fleste besøgende i fire dage, før en rettelse blev implementeret.
Ransom PKP er et teoretisk angreb, hvor en hacker får adgang til en webserver, derefter stjæler alle betroede certifikater og nøgler og derefter kræver løsesum for deres returnering. I en normal opsætning kunne du bare generere nye nøgler og certifikater og få hjemmesiden op at køre igen på mindre end en time. Med HPKP aktiveret er disse nøgler imidlertid fastgjort, hvis du ikke kan levere et fastgjort certifikat til brugere, vil de ikke være i stand til at få adgang til webstedet i varigheden af "max-age" timeren. Afhængigt af konfigurationen, og hvis der findes sikkerhedskopier, kan det være umuligt at løse dette problem.
Med begge disse problemer ville nye brugere være i stand til at få adgang til hjemmesiden som normalt, da de aldrig ville have set den gamle HPKP-header instruere deres browser om kun at stole på de nu manglende certifikater. Alle nylige besøgende, såsom faste kunder og læsere, skulle dog vente i hele varigheden af "max-age"-timeren.
I betragtning af alvoren af disse problemer og kompleksiteten af konfigurationen og vedligeholdelsen var brugen af HPKP-headeren meget lav. Til sidst blev store browsere enige om at droppe støtten til det helt, og inden for et par år blev HPKP-headeren universelt forældet.
Træt af, at synkroniseringskonflikt med flere profiler i Microsoft Edge ødelægger din browsing? Opdag trinvise løsninger til at løse synkroniseringsfejl, flette profiler og synkronisere problemfrit på tværs af enheder. Fungerer på de nyeste Edge-versioner!
Træt af, at din Microsoft Edge Sync Pause-kontofejl forstyrrer din browsing? Opdag hurtige og effektive fejlfindingstrin til at gendanne problemfri synkronisering på tværs af enheder. Opdateret med de seneste rettelser for en problemfri Edge-oplevelse.
Få styr på den frustrerende fejlmeddelelse om ukendt disk i bagudkompatible spil på Xbox Series X|S. Følg vores gennemprøvede trinvise løsninger for at gendanne dit klassiske spilbibliotek med det samme.
Har du problemer med fejlen i Microsoft Edge Windows Hello PIN-nulstilling? Opdag trinvise løsninger, der hurtigt løser problemet. Få adgang til din browser igen uden frustrationer – opdateret til de seneste Windows-opdateringer.
Har du problemer med den blanke, hvide skærm i Microsoft Edge ved opstart? Opdag trinvise løsninger på problemet med den blanke, hvide skærm i Edge, fra hurtige nulstillinger til avancerede reparationer. Kom problemfrit tilbage til at browse!
Trin-for-trin-guide til, hvordan du sikkerhedskopierer Microsoft Edge-data som bogmærker, adgangskoder, historik og indstillinger før en systemnulstilling. Beskyt dine essentielle browseroplysninger med nemme og pålidelige metoder.
Sidder du fast med fejlen "Microsoft Edge Capture Card No Signal 60FPS"? Opdag dokumenterede løsninger til at gendanne signalet, nå 60FPS problemfrit og streame uden forsinkelser. Trin-for-trin-guide til øjeblikkelige resultater!
Træt af den frustrerende Microsoft Edge Side-by-Side-konfigurationsfejl? Opdag enkle, trinvise løsninger, der hurtigt løser problemet og giver problemfri browsing tilbage. Opdateret med de nyeste løsninger!
Sidder du fast med Microsoft Edge Installer-fejl 124? Få trinvise løsninger til at løse installationsfejl hurtigt. Gennemprøvede løsninger til problemfri Edge-opsætning på Windows. Ingen tekniske færdigheder kræves!
Træt af, at Microsoft Edge Installer-fejl 124 blokerer din Windows 11-opsætning? Følg vores gennemprøvede, nemme løsninger for at løse det hurtigt og gendanne problemfri browsing. Ingen teknisk ekspertise nødvendig!
