Mi az a tanúsítvány rögzítése?
A tanúsítvány-rögzítés egy olyan biztonsági technika, amely csak engedélyezett vagy rögzített tanúsítványokat fogad el egy biztonságos munkamenet létrehozásakor. A rendszer elutasít minden olyan kísérletet, amely egy másik tanúsítvány használatával próbál biztonságos munkamenetet létrehozni.
Tanúsítvány rögzítési előzményei
A tanúsítvány rögzítését eredetileg a középen belüli (MITM) támadások meghiúsítására fejlesztették ki. A tanúsítványrögzítés először 2011-ben vált népszerűvé a DigiNotar Hitelesítésszolgáltató (CA) feltörése miatt, ahol a támadó helyettesítő tanúsítványokat tudott létrehozni számos nagy profilú webhelyhez, köztük a Google-hoz. A Chrome frissült, hogy "rögzítse" a Google webhelyeinek aktuális tanúsítványait, és elutasítja a kapcsolatot, ha egy másik tanúsítványt mutatnak be. Még akkor is, ha egy támadó módot talál arra, hogy meggyőzze a hitelesítésszolgáltatót egy hamis tanúsítvány kiadásáról, a Chrome továbbra is érvénytelenként ismeri fel, és a kapcsolatot elutasítja.
Bár a böngészők, például a Chrome és a Firefox voltak az első alkalmazások, hogy implementálják ezt a technikát, a használati esetek köre gyorsan bővült. IoT-eszközök, iOS- és Android-mobilalkalmazások, valamint különböző szoftveralkalmazás-gyűjtemények kezdtek ezzel a technikával védekezni a középen belüli támadások ellen.
A tanúsítványok rögzítését több éven át helyes biztonsági gyakorlatnak tekintették. A nyilvános kulcsú infrastruktúra (PKI) környezetének felügyelete a nyilvánosan megbízható hitelesítésszolgáltatók kiállítási gyakorlatának átláthatóságával javult.
Tanúsítvány-rögzítés kezelése az alkalmazásban
Az alkalmazások általában a tanúsítványok engedélyezett tanúsítványainak vagy tulajdonságainak listáját tartalmazzák, beleértve a tulajdonosi megkülönböztető neveket, ujjlenyomatokat, sorozatszámokat és nyilvános kulcsokat. Az alkalmazások rögzíthetnek egyéni levél- vagy végfelhasználói tanúsítványokat, alárendelt hitelesítésszolgáltatói tanúsítványokat vagy akár fő hitelesítésszolgáltatói tanúsítványokat is.
Ha az alkalmazás kifejezetten megadja az elfogadható hitelesítésszolgáltatók listáját, előfordulhat, hogy rendszeres időközönként frissítenie kell a rögzített tanúsítványokat, amikor a hitelesítésszolgáltatók megváltoznak vagy lejárnak. A tanúsítvány rögzítésének észleléséhez az alábbi lépéseket javasoljuk:
Ha Ön alkalmazásfejlesztő, keressen rá a forráskódban a változó vagy lejáró hitelesítésszolgáltatóra vonatkozó alábbi hivatkozások bármelyikére. Ha van egyezés, frissítse az alkalmazást úgy, hogy tartalmazza a hiányzó hitelesítésszolgáltatókat.
- Tanúsítvány ujjlenyomatai
- Tárgy megkülönböztető nevei
- Köznapi nevek
- Sorozatszámok
- Nyilvános kulcsok
- Egyéb tanúsítványtulajdonságok
Ha az egyéni ügyfélalkalmazás integrálva van az Azure API-kkal vagy más Azure-szolgáltatásokkal, és nem biztos benne, hogy tanúsítvány-rögzítést használ-e, forduljon az alkalmazás gyártójához.
Tanúsítvány rögzítési korlátozásai
A tanúsítvány rögzítésének gyakorlata széles körben vitatott, mivel elfogadhatatlan tanúsítvány-rugalmassági költségeket hordoz. Egy konkrét implementáció, a HTTP nyilvános kulcs rögzítése (HPKP) teljesen elavult
Mivel a tanúsítvány-rögzítés végrehajtásához nincs egyetlen webes szabvány, nem tudunk közvetlen útmutatást nyújtani a használat észleléséhez. Bár nem javasoljuk a tanúsítvány rögzítését, az ügyfeleknek tisztában kell lenniük a gyakorlat által létrehozott korlátozásokkal, ha a használat mellett döntenek.
- Győződjön meg arról, hogy a rögzített tanúsítványok rövid időn belül frissíthetők.
- Az iparági követelmények, például a ca/browser fórum alapkonfigurációs követelményei a nyilvánosan megbízható tanúsítványok kiállításához és kezeléséhez, bizonyos helyzetekben akár 24 óra alatt is szükségessé teszik a tanúsítványok elforgatását és visszavonását.