示意圖,與新聞事件無關。

Google軟體工程師Chris Palmer上周透露,將逐漸淘汰Chrome瀏覽器對公鑰釘扎(Public Key Pinning,PKP)的支援,預計在明年5月出爐的Chrome 67移除對HTTP公鑰釘扎(HPKP)的支援,最終將移除對內建PKP的支援,只是時程未定。

PKP為一驗證機制,供網站指定發行有效憑證的憑證機構,或是讓代理人可拒絕那些非良好憑證機構所發行的憑證,以杜絕不在網站白名單上的假冒憑證,主要用來預防中間人攻擊。

從執行面來看,PKP允許網站建立一個HTTP標頭,當使用者首次造訪該站時,該標頭便會要求瀏覽器下載一組可對照該站HTTPS憑證的公鑰,再次造訪該站時,瀏覽器便會從此一金鑰列表中找出符合該站HTTPS憑證的金鑰,因此,就算駭客假冒一合法網站並使用有效的HTTPS憑證,也無法通過PKP金鑰的驗證,便會遭到瀏覽器封鎖。

然而,可信賴憑證機構(CA)的選擇多半由瀏覽器或作業系統供應商所決定,而次級憑證機構(Sub CA)、交叉認證或是PKI結構則是由憑證機構所決定;上述造成網站業者難以釘選可靠的金鑰,且PKP的採用率偏低,因此,當網站業者的期待與客戶機器上的機制不符時,即會影響使用者,意外或不真實的釘選錯誤所帶來的疲勞轟炸將比安全性還嚴重。

Palmer說,若要導入PKP,基本上很難建立一組保證不會出錯的金鑰,卻可能造成網站無法使用的風險,也可因駭客所建立的惡意釘選惹來風險。

整體來看,PKP所帶來的問題勝過於它的安全功能,且就算移除PKP,網站也不會停止運作,才使得Google決定將先移除Chrome對動態釘選(HPKP)與靜態釘選(PKP)的支援。


Advertisement

更多 iThome相關內容