Разработчики компании Google сообщили, что в 2018 году из Chromium (а, значит, из Chrome тоже) планируется удалить поддержку технологии Public Key Pinning (PKP или HPKP), позволяющей привязать к серверу открытый ключ, для чего используется специальное поле в заголовках HTTP.
В Google объясняют, что когда технология PKP только появилась, на нее возлагали большие надежды, но, к сожалению, ее практическое применение оказалось сложнее, чем планировалось. В частности, оказалось, что малейшая ошибка в конфигурации может привести к катастрофическим последствиям. Так, пользователь может загрузить другие ключи или сайт будет иметь другой сертификат, и все это может спровоцировать полную недоступность ресурса на протяжении многих дней или даже месяцев. В результате большинство владельцев сайтов предпочло держаться от использования PKP подальше.
Хуже того, ИБ-специалисты уже предлагали теоретические сценарии атак с использованием PKP. К примеру, атакующий может выпустить собственные ключи PKP для целевого сайта, которые перестанут работать после обнаружения атаки. Так как без этих ключей работоспособность ресурса восстановить не удастся, злоумышленник получит отличную возможность вымогать у владельцев сайта деньги. PoC для такой атаки даже доступен на GitHub.
Словом, можно смело сказать, что технология PKP не прижилась. К примеру, по данным компании Neustar, в марте 2016 года лишь 0,09% от общего числа HTTPS-сайтов использовали PKP. В августе 2017 года этот показатель увеличился только до 0,4% среди всех ресурсов из топового миллиона по версии Alexa.
В итоге разработчики Google сообщили, что они готовы прекратить поддержку PKP. Сообщается, что PKP, скорее всего, исчезнет из Chrome после релиза Chrome 67, который запланирован на 29 мая 2018 года. Впрочем, пока время еще есть, и представители Google готовы выслушать пользователей, которые могут привести какие-то аргументы против отказа от PKP.
Читайте также
Последние новости