Google wil public key pinning in Chrome gaan verwijderen

[Captain Kirk]

Google is van plan om public key pinning in Chrome te gaan verwijderen, een maatregel die Chrome-gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven.

Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Een aanvaller had bij DigiNotar voor tientallen domeinen geldige certificaten gegenereerd. Het ging onder andere om een certificaat voor Google.com. Alle browsers accepteerden dit certificaat, behalve Chrome. Chrome maakt namelijk gebruik van public key pinning en Google had ingesteld welke certificaatautoriteiten voor Google.com een certificaat mogen uitgeven. DigiNotar stond hier niet tussen, waardoor Google een waarschuwing ontving en internetgebruikers kon waarschuwen.

Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Het voorstel is nu om de support van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uit te faseren. Deze versie staat gepland voor 29 mei 2018. Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt.

Certificaattransparantie

In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op certificaattransparantie overstappen. Dit is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij certificaattransparantie verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar certificaattransparantie-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt.

Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn. Chrome-ontwikkelaar Chris Palmer, die het plan voor het uitfaseren van public key pinning aankondigde, weet echter nog niet wanneer Chrome voor alle certificaten certificaattransparantie zal verplichten.

 

 

 

bron: security.nl