Hlavní navigace

Google odstraní podporu HPKP hlaviček z Chrome

Petr Krčmář

Google oznámil plány na zrušení podpory pro hlavičky HPKP v prohlížeči Chrome/Chromium. Hlavička HPKP dovoluje při první návštěvě webu vložit do prohlížeče důvěryhodné veřejné klíče, kterými se příště musí web prokázat v TLS certifikátu. Brání se tím nechtěné záměně certifikátů útočníkem. Detaily jsme popisovali v článku Bezpečnější šifrování HTTPS s hlavičkami HSTS a HPKP.

V průběhu času se ale ukázalo, že jde o problematické řešení, které přináší velkou míru rizika. V případě chyby se totiž klienti „naučí“ chybné klíče a mohou zůstat od webu odříznuti natrvalo. Proto se správci do nasazení příliš nehrnuli. Navíc existuje teoretický model útoku, kdy by mohl vyděrač po úspěšném napadení webu injektovat klientům své vlastní klíče a poté by vydíral původního provozovatele.

To vše vedlo k velmi pomalému nasazování HPKP hlaviček, které najdeme jen v 0,9 % webů z Alexa TOP 1M. Google proto plánuje odstranění podpory s vydáním Chrome 67, což bude pravděpodobně na konci května 2018. Návrh je možné ještě rozporovat, ale s ohledem na slabé rozšíření HPKP nelze předpokládat, že by se sešlo velké množství námitek.

Našli jste v článku chybu?