Public Key Pinning i Firefox 32 for å beskytte mot MITM angrep
Public Key Pinning (PKP) er en utvidelse av HTTP-protokollen som er i utkastet status i dag over på Internett Engineering Task Force (IETF).
Den lar webtjenester for å redusere antall myndigheter som kan godkjenne domenet ved å instruere kunder å bare bruke en bestemt undergruppe av myndighetene i stedet for å akseptere ethvert rotsertifikat som følger med nettleseren .
Teknikken er utviklet for å redusere sjansen for mannen i midten (MITM) angrep under visse omstendigheter og beskytte mot useriøse sertifiseringsinstanser.
Sikkerheten funksjonen fungerer kun på den andre går til området og ikke på den første som informasjon om sertifiseringsinstanser at nettstedet godtar må sendes inn til klienten under det første besøket. Dette kalles tillit ved første gangs bruk (TOFU).
Dette betyr at det ikke vil hjelpe hvis en rogue sertifikatet brukes under første forsøk på tilkobling eller hvis en mann i midten angrep som skjer på den tiden.
Et annet problem for eiere er at feil låsing kan resultere i sine nettsteder eller tjenester blir ugyldig.
En nål i denne sammenhengen beskriver forholdet mellom en vertsnavn, sier et nettsted som Amazon, og en kryptografisk identitet.
Fra og med Firefox 32, Firefox vil støtte Public Key Pinning. Firefox 32 er nå tilgjengelig som en betaversjon, og vil bli gjort tilgjengelig for stabile brukere av nettleseren 2. september 2014.
Firefox viser låsen ikonet indikerer et sikkert område som normalt hvis en sertifiseringsinstans spesifisert av en nettstedet nettleseren kobler seg til er kjent av nettleseren. Firefox vil avvise tilkoblingen ellers hvis det ikke er tilfelle.
Hvis det siste er tilfelle, mislyktes en sikker forbindelse feil vises i nettleseren.
Det er interessant å merke seg at Firefox vil leveres med innebygde pins akkurat som Google Chrome gjør. Dette integrerer låsing instruksjoner for å velge domenenavn for å overvinne den tillit ved første gangs bruk problem som informasjon er til stede i nettleseren fra får gå.
Fra og med Firefox 32, Firefox vil leveres med låsing informasjon for Twitter, Mozilla AMO og Mozilla CDN vertsnavn. Fra Firefox 33 på, vil det legge Google og flere Twitter-domener til denne listen. Fra Firefox 34 på, vil listen bli utvidet med Firefox kontoer domene, TOR, og Dropbox.
Feste Preference
Pinning er aktivert som standard i Firefox 32 og nyere versjoner av nettleseren. En preferanse er gitt som styrer funksjonen.
security.cert_pinning.enforcement_level Standardverdien for den er satt til 1. Dette kan endres til 0 for å deaktivere låsing eller to for å muliggjøre strenge låsing. Anmeldelser
0. Feste deaktivert
1. La bruker MITM (pinning ikke håndheves dersom tillitsanker er en bruker innsatt CA, standard)
2. Streng. Låsing er alltid håndheves
3.. Håndheve testmodus.