¿Existe algún mecanismo para precargar la fijación de claves públicas HTTP?

Navega tus respuestas
2

Para HTTP Strict Transport Security ( HSTS ), hay una lista de precarga, que los propietarios del sitio pueden enviar a su sitio a una lista de nombres de dominio con los que los proveedores de navegadores envían sus navegadores.

¿Hay algún mecanismo similar a HSTS Preloading, que los propietarios del sitio puedan " anunciar " las firmas de las claves públicas que usarán, de modo que el navegador sepa qué claves públicas debe aceptar? antes de su primera visita a ese sitio?

Entiendo que enviar un archivo gigante con las claves públicas no es práctico, pero le agradecería que me señalara si hay alguna versión final o borrador que los propietarios del sitio puedan anunciar de forma segura y sin hacerlo posible. para que el pícaro engañe a los clientes para que acepten una clave pública que no sea la clave real?

    
pregunta Ayesh K 24.11.2016 - 21:16
fuente

1 respuesta

2

Sí, los principales navegadores utilizan listas de precarga de HPKP, pero actualmente no hay ningún mecanismo para enviar sus propios pines (a diferencia de la lista de HSTS ).

Los grandes proveedores actualmente restringen los pines de la clave pública precargados a sus propias propiedades y algunos sitios de alto perfil (Google, Facebook, Twitter, etc.). La RFC en la extensión de inserción de clave pública también menciona explícitamente que se pueden usar las listas de precarga: 

2.7.  Interactions with Preloaded Pin Lists

   UAs MAY choose to implement additional sources of pinning
   information, such as through built-in lists of pinning information.
   Such UAs should allow users to override such additional sources,
   including disabling them from consideration.

   The effective policy for a Known Pinned Host that has both built-in
   Pins and Pins from previously observed PKP header response fields is
   implementation-defined.

Por ejemplo, Mozilla Firefox se entrega con una lista de precarga de HPKP en PreloadedHPKPins.json . Describen su política para incluir pines integrados de la siguiente manera:

  

Nosotros:

     
  • Fije todos los sitios que Chrome ya hace (Google, Twitter) al importar el juego de pines de cromo.
    •   
  • Fije nuestros propios sitios después de auditarlos y limpiarlos.
    •   
  • Pinea otros sitios populares como Facebook que ya están en buena forma (con su cooperación, por supuesto)
    •   

Es de suponer que los proveedores no están tan interesados en permitir que todos envíen sus pines porque eso significaría mucho mantenimiento adicional debido a los cambios constantes y las solicitudes de eliminación.

    
respondido por el Arminius 24.11.2016 - 21:43
fuente

Lea otras preguntas en las etiquetas

Detectar un host en mi red que está realizando raspado web en sistemas externos .NET espera archivos csv, ¿qué sucede si recibe un archivo malicioso?