Esistono meccanismi per precaricare il blocco della chiave pubblica HTTP

Naviga le tue risposte
2

Per HTTP Strict Transport Security ( HSTS ), c'è un elenco di precaricamento, che i proprietari dei siti possono inviare il loro sito a un elenco di nomi di dominio con cui i fornitori di browser spediscono i loro browser.

Esistono meccanismi simili al precaricamento dell'HSTS, che i proprietari dei siti possono " annunciare " le firme delle chiavi pubbliche che useranno, in modo che il browser sappia quali chiavi pubbliche accettare prima della sua prima visita a quel sito?

Comprendo che la spedizione di un file gigante con le chiavi pubbliche non è pratica, ma sarei grato se potessi indicarmi se ci sono delle caratteristiche finali o di bozza che i proprietari del sito possono annunciarle in modo sicuro e senza renderlo possibile per il ladro ingannare i clienti ad accettare una chiave pubblica che non è la chiave vera?

    
posta Ayesh K 24.11.2016 - 21:16
fonte

1 risposta

2

Sì, i principali browser utilizzano gli elenchi di preload di HPKP ma attualmente non esiste alcun meccanismo per inviare i propri pin (in contrasto con l' elenco HSTS ).

I grandi venditori attualmente limitano i pin di chiavi pubbliche precaricate alle proprie proprietà e alcuni siti di alto profilo (Google, Facebook, Twitter, ecc.). Anche la RFC sull'estensione della chiave pubblica menziona esplicitamente che è possibile utilizzare gli elenchi di precarico: 

2.7.  Interactions with Preloaded Pin Lists

   UAs MAY choose to implement additional sources of pinning
   information, such as through built-in lists of pinning information.
   Such UAs should allow users to override such additional sources,
   including disabling them from consideration.

   The effective policy for a Known Pinned Host that has both built-in
   Pins and Pins from previously observed PKP header response fields is
   implementation-defined.

Ad esempio, Mozilla Firefox viene fornito con un elenco di preload HPKP in PreloadedHPKPins.json . Descrivono le loro norme per includere i pin incorporati come segue:

We will:

  • Pin all of the sites that Chrome already does (Google, Twitter) by importing chromium's pinset.
  • Pin our own sites after auditing them and cleaning them up.
  • Pin other popular sites like Facebook that are in good shape already (with their cooperation, of course)

Presumibilmente, i venditori non sono troppo entusiasti di consentire a tutti di inviare i propri spilli perché ciò significherebbe un sacco di manutenzione extra a causa delle continue richieste di modifica e rimozione.

    
risposta data 24.11.2016 - 21:43
fonte

Leggi altre domande sui tag

WPS PBC Security Utilizzo di JTWs nell'implementazione OAuth