Расширение для закрепления открытого ключа для HTTP

#security #iis #certificate #public-key-pinning

Вопрос:

Наша команда по тестированию на проникновение предлагает настроить расширение закрепления открытого ключа для HTTP на уровне IIS.

Википедия говорит, что это устаревший механизм безопасности. И большинство блогов и статей не рекомендуют закреплять, потому что это сопряжено с огромным риском.

Хорошо ли иметь PKP на веб-сайте?

Пожалуйста, Посоветуйтесь.

1. Это хороший вопрос для вашей команды по тестированию на проникновение, так как у вас уже есть так много информации о темной стороне. Они несут ответственность не только за то, чтобы сообщить об уязвимости (если они считают ее действительной), но и за то, чтобы объяснить все детали об этом.

Ответ №1:

Что я могу гарантировать, так это то, что по сравнению с веб-сайтами, которые не используют никаких сертификатов или зашифрованных соединений, закрепление открытого ключа может сделать соединение более безопасным. Когда Google впервые представила PKP, он использовался для добавления уровня безопасности для веб-клиентов.

Но после столь долгих технологических изменений появляются более безопасные технологии, из-за которых PKP выглядит не идеально.

Прерывая соединение, PKP может помочь защитить конечных пользователей от атак типа «человек посередине» (MITM). Один из способов атаки MITM может произойти, когда злоумышленник использует поддельный сертификат для создания поддельного сайта с целью сбора личной информации пользователя.

Теперь кажется, что PKP небезопасен, немногие веб-сайты используют его, и даже многие браузеры отказываются от его поддержки. Я думаю, что ваша команда по тестированию на проникновение знает об этом, но почему они настаивают на его использовании, вам нужно спросить их. У них может быть какая-то особая причина для использования PKP.