Разработчики компании Google сообщили, что в 2018 году из Chromium (а, значит, из Chrome тоже) планируется удалить поддержку технологии Public Key Pinning (PKP или HPKP), позволяющей привязать к серверу открытый ключ, для чего используется специальное поле в заголовках HTTP.

В Google объясняют, что когда технология PKP только появилась, на нее возлагали большие надежды, но, к сожалению, ее практическое применение оказалось сложнее, чем планировалось. В частности, оказалось, что малейшая ошибка в конфигурации может привести к катастрофическим последствиям. Так, пользователь может загрузить другие ключи или сайт будет иметь другой сертификат, и все это может спровоцировать полную недоступность ресурса на протяжении многих дней или даже месяцев. В результате большинство владельцев сайтов предпочло держаться от использования PKP подальше.

Хуже того, ИБ-специалисты уже предлагали теоретические сценарии атак с использованием PKP. К примеру, атакующий может выпустить собственные ключи PKP для целевого сайта, которые перестанут работать после обнаружения атаки. Так как без этих ключей работоспособность ресурса восстановить не удастся, злоумышленник получит отличную возможность вымогать у владельцев сайта деньги. PoC для такой атаки даже доступен на GitHub.

Словом, можно смело сказать, что технология PKP не прижилась. К примеру, по данным компании Neustar, в марте 2016 года лишь 0,09% от общего числа HTTPS-сайтов использовали PKP. В августе 2017 года этот показатель увеличился только до 0,4% среди всех ресурсов из топового миллиона по версии Alexa.

В итоге разработчики Google сообщили, что они готовы прекратить поддержку PKP. Сообщается, что PKP, скорее всего, исчезнет из Chrome после релиза Chrome 67, который запланирован на 29 мая 2018 года. Впрочем, пока время еще есть, и представители Google готовы выслушать пользователей, которые могут привести какие-то аргументы против отказа от PKP.

2 комментария

  1. Аватар

    AgentJordan

    31.10.2017 at 00:46

    Гугл, как обычно, лезет туда, куда его не просят. «ИБ-специалисты» высасывают темы из пальца и пытаются хайпануть. Во-первых, атакующему нужно завладеть доменом, во-вторых все пользователи, которые посещали этот домен ДО взлома будут, как раз таки, защищены благодаря HPKP, «уязвимыми» окажутся только новые посетители. В-третьих, восстановить работоспособность можно без особых усилий. В firefox это делается полным очищением кеша, в chrome — ненамного сложнее. Процесс «очищения» владелец домена может описать в facebook/twitter/blog компании. Далее, если ты способен потерять доступ к своему домену, или полез настраивать HPKP не понимая что это и как оно работает, то о чем вообще может быть речь? Как говорится, не электрик — нейух лезть.

  2. Аватар

    john_

    31.10.2017 at 15:16

    Добро пожаловать на кладбище Гугл. Могилка уже есть ?))

Оставить мнение