Public-Key-Pins-Deaktiviert/DE/Solution Tips: Unterschied zwischen den Versionen
Zeile 1: | Zeile 1: | ||
− | pin-sha256="<HASH>"; pin-sha256="<HASH>"; max-age=2592000; includeSubDomains; | + | Das Setzen des Public Key Pinning (HPKP) ist kein absolutes Muss und wird aktuell im Siwecos-Scanner nicht berücksichtigt. |
+ | |||
+ | Die Browser Mozilla Firefox und Google Chrome richten sich nach dem [https://de.wikipedia.org/wiki/HTTP_Public_Key_Pinning RFC-7469-Standard] und ignorieren daher HPKP-Header. Wenn nur ein einziger Pin gesetzt ist, wird eine Fehlermeldungen angezeigt. Damit die Pin-Validierung funktioniert, ist es also immer notwendig mindestens zwei gültige Public Keys bzw. einen Back-up-Pin anzugeben. Interessierte sollten sollten sich dazu an einen IT-Sicherheitsexperten oder Webentwickler wenden. | ||
+ | |||
+ | Weiterführende Informationen finden Sie im [https://www.zdnet.com/article/google-chrome-is-backing-away-from-public-key-pinning-and-heres-why/ Artikel von ZDNET ] | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | <!--pin-sha256="<HASH>"; pin-sha256="<HASH>"; max-age=2592000; includeSubDomains; | ||
'''HPKP aktivieren''' - Dieses Feature kann einfach aktiviert werden indem ein Public-Key-Pins HTTP-Header beim Aufruf der Seite über [[HTTPS]] zurückgegeben wird. ([https://developer.mozilla.org/de/docs/Web/Security/Public_Key_Pinning Weitere Infos]). | '''HPKP aktivieren''' - Dieses Feature kann einfach aktiviert werden indem ein Public-Key-Pins HTTP-Header beim Aufruf der Seite über [[HTTPS]] zurückgegeben wird. ([https://developer.mozilla.org/de/docs/Web/Security/Public_Key_Pinning Weitere Infos]). | ||
Zeile 9: | Zeile 18: | ||
Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den '''HTTP-Security-Header-Scanner''' Grün zu stimmen. | ||
− | ([[Htaccess|.htaccess-Beispiel]]) | + | ([[Htaccess|.htaccess-Beispiel]]) --> |
Version vom 13. August 2018, 11:16 Uhr
Das Setzen des Public Key Pinning (HPKP) ist kein absolutes Muss und wird aktuell im Siwecos-Scanner nicht berücksichtigt.
Die Browser Mozilla Firefox und Google Chrome richten sich nach dem RFC-7469-Standard und ignorieren daher HPKP-Header. Wenn nur ein einziger Pin gesetzt ist, wird eine Fehlermeldungen angezeigt. Damit die Pin-Validierung funktioniert, ist es also immer notwendig mindestens zwei gültige Public Keys bzw. einen Back-up-Pin anzugeben. Interessierte sollten sollten sich dazu an einen IT-Sicherheitsexperten oder Webentwickler wenden.
Weiterführende Informationen finden Sie im Artikel von ZDNET