HPKP on aegunud veebiturbe vastuse päis, akronüüm tähistab HTTP avaliku võtme viipeid. Selle eesmärk oli takistada ohustatud või petturlikul sertifitseerimisasutusel veebisaidile avalikult usaldusväärse, kuid häkkerite kontrollitud HTTPS-i sertifikaati väljastamast. Selle stsenaariumi korral saaksid häkkerid dekrüpteerida kõik pealtkuulatud HTTPS-i liiklused mõjutatud veebisaidile.
Näpunäide. Veebivastuse päised on metaandmete osad, mida server päringutele vastates kaasab. Väikest alamhulka neist nimetatakse turvapäisteks, kuna need võimaldavad ja konfigureerivad erinevaid turvafunktsioone.
Sertifikaadi infrastruktuur, millele HTTPS on üles ehitatud, põhineb usaldusvõrgul. Paljud ettevõtted tegutsevad sertifitseerimisasutustena (CA), mis avaldavad ühe või mitu juursertifikaati. Juursertifikaatide komplekt sisaldub kõigis usaldussalve seadmetes. Kui veebisait taotleb CA-lt oma HTTPS-i sertifikaati, allkirjastatakse sertifikaat juursertifikaadiga. Kui teie arvuti näeb HTTPS-i sertifikaati, kontrollib see allkirja. Kui sertifikaat on allkirjastatud juursertifikaadiga, mida see usaldab, usaldab teie arvuti ka HTTPS-sertifikaati.
Näpunäide. CA-l võib olla ka juursertifikaadiga allkirjastatud vahesertifikaate. Neid vahepealseid sertifikaate saab kasutada ka veebisaitide HTTPS-sertifikaatide allkirjastamiseks.
Sertifikaadi asutuse ülesanne on väljastada sertifikaat alles siis, kui ta on kontrollinud, et seda taotlev isik on veebisaidi tõeline omanik. Selle struktuuri idee seisneb selles, et kui häkker loob veebisaidi jaoks oma sertifikaadi, ei allkirjastata seda CA, mida teie arvuti usaldab, ja seega näete hoiatust.
Kogu sertifikaadisüsteem tugineb sertifitseerimisasutuste usaldusväärsusele. Algselt ei olnud aga kaitset selle eest, et häkkerid saaksid CA-d ohtu seada või petturid ja sertifikaate valesti väljastada.
HPKP loodi kaitseks selle võimaluse eest. See võimaldab veebisaitidel määrata kindlaks eksklusiivse loendi sertifikaatidest, mida saab veebisaidi jaoks kinnitamise protsessis usaldada. Juur- või vahesertifikaati oli võimalik kinnitada, võimaldades sisuliselt ühel CA-l veebisaidi jaoks sertifikaate väljastada. Samuti oli võimalik kinnitada veebilehe enda sertifikaat, takistades isegi õigel CA-l teist kehtivat sertifikaati väljastada.
Tehniliselt pole kinnitatud mitte sertifikaat ise, vaid sertifikaadi võtme räsi. Räsi on ühesuunaline krüptograafiline funktsioon. See tähendab, et on võimalik kontrollida, kas veebisaidi poolt brauserile esitatud sertifikaat ühtib kinnitatud sertifikaadiga, kuid kehtiva sertifikaadi loomiseks pole räsi võimalik kasutada.
HPKP nõudis vähemalt kahe võtme kinnitamist, millest vähemalt üks peab olema varukoopia ja mitte praeguses sertifikaadiahelas. See varukoopia võimaldab teil konfigureerida sujuva üleandmise uuele sertifikaadile, mis ei takista kasutajatel ühenduse loomist.
Kui veebisaidi poolt brauserile esitatud HTTPS-sertifikaat ei ühti ühega kinnitatud sertifikaatidest, siis peab brauser selle tagasi lükkama ja takistama kasutajal sertifikaadi veateatest mööda minemast.
HPKP päises on kolm kohustuslikku osa ja kaks valikulist osa. Päis peab olema pealkirjaga „Public-Key-Pins”, järgmisel kahel või enamal sertifikaadil peab olema base64-kodeeringuga SHA256 räsi, mis on kinnitatud vormingus „pin-sha256=””. Viimane kohustuslik osa on "maksimaalne vanus", mis näitab sekundites, kui kaua brauser peaks piiranguid rakendama.
Näpunäide. SHA256 on HPKP kasutatav räsimisalgoritm. Base64 on 64 märgist koosnev märgistik: 0–9, az, AZ ja erimärgid “+” ja “/”. “=” kasutatakse vajaduse korral kuni kahe viimase tähemärgi sisestamiseks.
Valikulised seaded on "includeSubDomains" ja "report-uri". "includeSubDomains juhendab brauserit rakendama HPKP kaitset praeguse veebisaidi mis tahes alamdomeenile "maksimaalse vanuse" taimeri kestuse jooksul. "Report-uri" on funktsioon, mis võimaldab määrata veebisaidi, kuhu saab saata veaaruandeid, ning on loodud probleemide tuvastamiseks ja lahendamiseks.
Päisest on olemas ka teine variant pealkirjaga "Ainult avaliku võtme-nööpnõelad". Kõik on endine, kuid tõrke leidmisel ei võeta midagi ette peale veateate tagastamise brauserisse ja „report-uri“, kui see on konfigureeritud. Ainult aruande variant oli loodud selleks, et võimaldada päise täielikku testimist enne juurutamist, kus vead kasutajatele probleeme ei tekita.
HPKP katkestati kahel peamisel põhjusel. Päis võis seda kasutaval veebisaidil tõsiseid probleeme tekitada kahel viisil – need said nimeks HPKP Suicide ja Ransom PKP.
HPKP enesetapp on probleem, mille puhul veebisaidi seaduslikud omanikud kaotavad juurdepääsu kõigile kinnitatud võtmetele. See võib juhtuda juhusliku kustutamise, häkkimise, viiruste, andmete riknemise või paljudel muudel põhjustel. HPKP korrektse juurutamise ja eriti sertifikaatide pööramise ajal ajakohasena hoidmise keerukuse tõttu on konfiguratsiooniviga suhteliselt lihtne teha. HPKP puhul aga ei saa kõik hiljutised teie veebisaidi külastajad pääseda teie veebisaidile kuni „maksimaalse vanuse“ taimeriga, kui teil on midagi valesti. Veebisait smashingmagazine.com postitas artikli, milles kirjeldati täpselt selle probleemiga seotud kogemusi, mis viis saidi enamiku külastajate jaoks neli päeva enne paranduse juurutamist võrguühenduseta.
Lunaraha PKP on teoreetiline rünnak, mille käigus häkker saab juurdepääsu veebiserverile, varastab seejärel kõik usaldusväärsed sertifikaadid ja võtmed ning nõuab nende tagastamise eest lunaraha. Tavalise seadistuse korral saate lihtsalt luua uued võtmed ja sertifikaadid ning lasta veebisaidil varundada ja töötada vähem kui tunniga. Kui HPKP on lubatud, on need võtmed siiski kinnitatud. Kui te ei saa kinnitatud sertifikaati kasutajatele edastada, ei pääse nad veebisaidile ligipääsu "maksimaalse vanuse" taimeri ajal. Olenevalt konfiguratsioonist ja varukoopiate olemasolust võib seda probleemi olla võimatu lahendada.
Mõlema probleemi korral pääseksid uued kasutajad veebisaidile tavapäraselt juurde, kuna nad poleks kunagi näinud vana HPKP päist, mis juhendaks nende brauserit usaldama ainult praegu puuduvaid sertifikaate. Kõik hiljutised külastajad, näiteks püsikliendid ja lugejad, peaksid aga ootama kogu “maksimaalse vanuse” taimeri kestuse.
Arvestades nende probleemide tõsidust ning konfiguratsiooni ja hoolduse keerukust, kasutati HPKP päist väga vähe. Lõpuks nõustusid suuremad brauserid selle toe täielikult loobuma ja paari aasta jooksul kaotati HPKP päis üldiselt.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
