Pinning

Das ist der Eintrag dazu aus unserem IT-Kommunikationslexikon:

Beim Aufbau einer SSL/TLS-Verbindung wird die Vertrauenswürdigkeit des Servers anhand von digitalen Zertifikaten geprüft, die von CAs ausgestellt worden sind, denen der Client vertraut. Die Zertifikate der CAs, denen der Browser vertraut, sind fest im Browser hinterlegt (hierarchy of trust). Kann der Server kein passendes Zertifikat vorweisen, wird keine SSL-Verbindung zugelassen. Die Sicherheit von SSL/TLS-Verschlüsselung hängt also maßgeblich von der Sicherheit und Vertrauenswürdigkeit der CAs ab. Wird eine CA kompromitiert, so kann das ganze Verschlüsselungssystem unterlaufen werden, indem Server mit gefäschten Zertifikaten aufgesetzt werden oder gar SSL-Gateways unbemerkt für Man-in-the-Middle-Attacken dem Client untergeschoben werden.

Mit Pinning, werden im Client zusätzliche Plausibilisierungs- und Sicherheitsregeln in Whitelists hinterlegt. Die Whitelist ordnen einem Hostname explizit einen oder mehrere öffentliche Schlüssel (Public Key Pinning), Zertifikate (Certificate Pinning) oder CAs (CA Pinning) zu und werden vom Client beim Aufbau überprüft. Außerdem können SSL/TLS-Parameter festgelegt werden, um schwache Verschlüsselungsverfahren zu vermeiden.

Siehe auch:
HPKP
HSTS

Aktuelle Beiträge

Quantum stellt für 2025 neue Tape-Library in Aussicht

Quantum kündigt mit dem Modell "Scalar i7 Raptor" eine Erweiterung seiner Tape-Speicher-Serie Scalar an. Neben der laut Hersteller höchsten Datendichte auf dem Markt soll der die Neuerscheinung auch mit speziellen Anti-Ransomware-Funktionen wie Tape-Blocking für den Aufbau von cyberresistenten Clouds sowie KI-gestützter prädikativer Analyse für eine einfache Verwaltung und kontinuierliche Verfügbarkeit punkten.

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar

IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.