Шта је ХПКП?

ХПКП је застарело заглавље веб безбедносног одговора, акроним је скраћеница за ХТТП Публиц Кеи Пинс. Имао је за циљ да спречи компромитовани или лажни ауторитет за издавање сертификата да изда јавно поуздани, али контролисан хакерима, ХТТПС сертификат за веб локацију. У овом сценарију, хакери би могли да дешифрују сваки пресретнути ХТТПС саобраћај до погођене веб локације.

Савет: Заглавља веб одговора су делови метаподатака које сервер укључује када одговара на захтеве. Мали подскуп њих се назива безбедносним заглављима, јер омогућавају и конфигуришу различите безбедносне функције.

ХТТПС сертификат инфраструктура

Инфраструктура сертификата на којој је изграђен ХТТПС заснована је на мрежи поверења. Бројне компаније делују као ауторитети сертификата (ЦА) који објављују један или више основних сертификата. Скуп коренских сертификата је укључен у све уређаје у складишту поверења. Када веб локација затражи сопствени ХТТПС сертификат од ЦА, сертификат је потписан основним сертификатом. Када ваш рачунар види ХТТПС сертификат, проверава потпис. Ако је сертификат потписан основним сертификатом коме верује, онда и ваш рачунар верује ХТТПС сертификату.

Савет: ЦА такође може имати посредне сертификате потписане основним сертификатом. Ови средњи сертификати се такође могу користити за потписивање ХТТПС сертификата за веб локације.

Посао ауторитета за сертификацију је да изда сертификат само када потврди да је особа која их тражи прави власник веб локације. Идеја ове структуре је да ако хакер креира сопствени сертификат за веб локацију, он неће бити потписан од стране ЦА коме ваш рачунар верује, па ћете видети упозорење.

Шта је ХПКП урадио?

Цео систем сертификата се ослања на поузданост органа за сертификацију. Првобитно, међутим, није постојала никаква заштита од тога да хакери компромитују ЦА или да одаберу нетачно издавање сертификата.

ХПКП је дизајниран да буде заштита од ове могућности. Омогућава веб локацијама да специфицирају ексклузивну листу сертификата којима се може веровати за веб локацију у процесу који се зове качење. Било је могуће закачити основни или средњи сертификат, у суштини омогућавајући једном ЦА да изда сертификате за веб локацију. Такође је било могуће закачити сертификат саме веб локације, спречавајући чак и прави ЦА да изда још један важећи сертификат.

Технички, није сам сертификат тај који је закачен, већ хеш кључа сертификата. Хеш је једносмерна криптографска функција. То значи да је могуће проверити да ли се сертификат који веб локација приказује претраживачу подудара са закаченим сертификатом, али није могуће користити хеш за прављење важећег сертификата.

ХПКП је захтевао да се закаче најмање два кључа, од којих најмање један мора да буде резервна копија и да није у тренутном ланцу сертификата. Ова резервна копија вам омогућава да конфигуришете глатку примопредају на нови сертификат који не спречава кориснике да се повежу.

Ако ХТТПС сертификат који веб-сајт представља прегледачу не одговара једном од закачених сертификата, онда се од претраживача тражи да га одбије и спречи корисника да заобиђе поруку о грешци сертификата.

Структура ХПКП

ХПКП заглавље има три обавезна дела и два опциона. Заглавље мора бити насловљено „Публиц-Кеи-Пинс”, следећа два или више сертификата морају да имају басе64 кодиран СХА256 хеш закачен у формату „пин-сха256=””'. Последњи обавезни део је „максимална старост“, која представља број у секундама колико дуго претраживач треба да примењује ограничења.

Савет: СХА256 је алгоритам хеширања који користи ХПКП. Басе64 је скуп знакова са 64 знака: 0-9, аз, АЗ и специјалним знаковима „+“ и „/“. „=“ се користи за допуну до последња два знака ако је потребно. 

Опциона подешавања су „инцлудеСубДомаинс“ и „репорт-ури“. „инцлудеСубДомаинс налаже претраживачу да примени ХПКП заштиту на било који поддомен тренутне веб локације током трајања „макс-аге“ тајмера. „репорт-ури“ је функција која омогућава да се веб локација одреди где се могу слати извештаји о грешкама, а дизајнирана је да помогне у идентификацији и решавању проблема.

Постоји друга варијанта заглавља под називом „Публиц-Кеи-Пинс-Репорт-Онли“. Све је исто, међутим, ако се пронађе грешка, не предузима се ништа осим враћања поруке о грешци у претраживач и на „репорт-ури“ ако је конфигурисан. Само варијанта извештаја је дизајнирана да омогући тестирање заглавља у пуној мери пре примене, где грешке не би изазвале проблеме корисницима.

Проблеми са ХПКП

ХПКП је застарео из два главна разлога. Постојала су два начина на која би заглавље могло да изазове озбиљне проблеме за веб локацију која га користи, они су се звали ХПКП Суициде и Рансом ПКП.

ХПКП Суициде је проблем где легитимни власници веб локације губе приступ свим закаченим кључевима. То се може догодити случајним брисањем, хаковањем, вирусима, оштећењем података или из многих других разлога. Због сложености исправне имплементације ХПКП-а, а посебно његовог ажурирања током ротације сертификата, релативно је лако направити грешку у конфигурацији. Међутим, са ХПКП-ом, ако нешто погрешно схватите, свим недавним посетиоцима ваше веб странице биће онемогућено да приступе вашој веб локацији током трајања тајмера „максималног узраста“. Веб локација смасхингмагазине.цом објавила је чланак у којем је детаљно описано своје искуство са управо овим проблемом, који је у суштини одвео сајт ван мреже за већину посетилаца четири дана пре него што је исправка постављена.

Рансом ПКП је теоретски напад у којем хакер добија приступ веб серверу, затим краде све поуздане сертификате и кључеве, а затим захтева откуп за њихов повратак. У нормалном подешавању, могли бисте једноставно да генеришете нове кључеве и сертификате и да се веб локација поново покрене и покрене за мање од сат времена. Међутим, када је ХПКП омогућен, ти кључеви су закачени, ако не можете да дате закачени сертификат корисницима, они неће моћи да приступе веб локацији током трајања тајмера „максималног узраста“. У зависности од конфигурације и постојања резервних копија, можда ће бити немогуће решити овај проблем.

Са оба ова проблема, нови корисници би могли нормално да приступе веб локацији, јер никада не би видели старо ХПКП заглавље које налаже свом претраживачу да верује само сертификатима који сада недостају. Међутим, сви недавни посетиоци, као што су редовни купци и читаоци, морали би да сачекају све време трајања тајмера „максималног узраста“.

С обзиром на озбиљност ових проблема и сложеност конфигурације и одржавања, употреба ХПКП заглавља је била веома мала. На крају су се главни претраживачи сложили да у потпуности одустану од подршке и за неколико година, ХПКП заглавље је универзално застарело.