近日,Google安全团队在论坛上公开宣布,由于HPKP(HTTP Public Key Pinning)普及率低和存在技术挑战,计划2018年5月发布的Chrome 67解除对HTTP公钥固定(HPKP)的支持,公告一出马上引起行业内的热议。
什么是HPKP
HPKP是HTTPS网站防止攻击者利用CA机构错误签发的证书进行中间人攻击的一种安全机制,旨在预防攻击者入侵CA偷发证书、浏览器信任的CA签发伪造证书等情况。HPKP公钥固定所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希通常会在1年左右失效。
HPKP的问题所在
安全问题
参与撰写和制定该标准(RFC 7469)的谷歌工程师认为,HPKP并没有想象中的安全,甚至可以说存在极大的安全隐患。因为恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击,并且如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的CA 机构,你不能再选择新的CA 机构为你签发证书。
普及率低
在各大浏览器中,目前仅有Firefox35.0以上、Chrome46之后的版本支持HPKP。IE、Safari、Edge……都尚不支持HPKP。
根据调查,在2016年3月所有HTTPS网站部署HPKP的比率为0.09%,全球只有不到4,100个证书。到2017年8月,部署率只提高到0.4%。并且在实际应用中,这些网站中有四分之一以上是发生错误部署,从而导致有效使用HPKP的证书总数量低于3000个。
存在技术挑战
而造成这种现象的原因是:该技术尚处于萌芽期,网站技术人员对其缺乏重视和理解。更重要的是,错误的部署会为网站带来严重的后果,即用户在相当长一段时间内(取决于max-age的配置)因新证书公钥与旧HPKP策略不符,会导致用户对网站的合法访问变成拒绝访问。
以及,就算正确配置HPKP的站点可以加强网站防御力,如果攻击者获得有效证书,从未访问过网站的浏览器仍有可能会受到中间人攻击。因为HPKP与HSTS不同,HPKP并没有可用的常见预载列表。
Google证书透明度项目
为了向用户提供加密流量,网站必须先向可信的证书授权中心 (CA) 申请证书。然后,当用户尝试访问相应网站时,此证书即会被提供给浏览器以验证该网站。近年来,由于 HTTPS 证书系统存在结构性缺陷,证书以及签发证书的 CA 很容易遭到入侵和操纵。而Google 的证书透明度项目旨在通过提供一个用于监测和审核HTTPS 证书的开放式框架,来保障证书签发流程安全无误。
领取优惠
提交成功!