Public-Key-Pins-Deaktiviert/DE
Überprüfung des Public Key Pinning (HPKP) - hat keinen Einfluß auf die Bewertung
Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
Ergebnis positiv | Public-Key-Pinning ist aktiviert (HPKP wird derzeit nicht überprüft). |
Ergebnis negativ | Public-Key-Pinning nicht vorhanden (Das Ergebnis fließt nicht in die Bewertung ein). |
Beschreibung | Mächtige Angreifer wie bspw. Geheimdienste können ggf. eine Signatur mit der Hilfe einer von den Benutzern akzeptierten Zertifizierungsstelle erstellen lassen. Um dies zu verhindern, kann eine Webseite definieren, dass beim ersten Aufruf des Zertifikats das Zertifikat dauerhaft gespeichert wird (pinning). Mit der Hilfe von Key-Pinning wird für die von der Webseite definierten Zeit lediglich das gespeicherte Zertifikat akzeptiert. |
Hintergrund | Einer der für Laien am schwierigsten zu konfigurierende Header. Besitzt man ein SSL-Zertifikat kann man dem anfragenden Browser mitteilen, wie lange dieses noch gilt und einen “Schlüssel” = eine eindeutige Kennung senden. Damit kann beim erneuten Aufruf festgestellt werden, ob das Zertifikat noch das zuvor angegebene Zertifikat ist. Sollte ein Angreifer nun versuchen, ein gefälschtes Zertifikat dem Nutzer zu unterbreiten, so wird der Webbrowser keine Daten senden und keine Informationen darstellen. Weitere Infos zu Public Key Pinning Public Key Pinning (HPKP). |
Auswirkung | Für kleine und mittelständische Unternehmen, die Zielgruppe von SIWECOS, ist dieser Header zwar einsetzbar, aber kein absolutes Muss. Wird dieser Header falsch konfiguriert, steht Ihre Website für die Benutzer unter Umständen für einen langen Zeitraum nicht zur Verfügung, und zwar solange bis die korrekten Zertifikate verwendet werden oder das Ablaufdatum des zuvor gesendeten Headers erreicht ist. |
Lösung/Tipps | Das Setzen des Public Key Pinning (HPKP) ist kein absolutes Muss und wird aktuell im Siwecos-Scanner nicht gewertet. Es ist ratsam, diese nicht oder nur nach Absprache mit einem Experten zu aktivieren.
Die Browser Mozilla, Firefox und Google Chrome richten sich nach dem RFC-7469-Standard und ignorieren daher HPKP-Header. Wenn nur ein einziger Pin gesetzt ist, wird eine Fehlermeldung angezeigt. Damit die Pin-Validierung funktioniert, ist es also immer notwendig mindestens zwei gültige Public Keys bzw. einen Backup-Pin anzugeben. Interessierte sollten sich dazu an einen IT-Sicherheitsexperten oder Webentwickler wenden. Weiterführende Informationen finden Sie im Artikel von ZDNET HPKP aktivieren - Dieses Feature kann einfach aktiviert werden, indem ein Public-Key-Pins HTTP-Header beim Aufruf der Seite über HTTPS zurückgegeben wird. (Weitere Infos). Public-Key-Pins: pin-sha256="base64=="; max-age=expireTime [; includeSubdomains][; report-uri="reportURI"] Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel) |