Pinning


Beim Aufbau einer SSL/TLS-Verbindung wird die Vertrauenswürdigkeit des Servers anhand von digitalen Zertifikaten geprüft, die von CAs ausgestellt worden sind, denen der Client vertraut. Die Zertifikate der CAs, denen der Browser vertraut, sind fest im Browser hinterlegt (hierarchy of trust). Kann der Server kein passendes Zertifikat vorweisen, wird keine SSL-Verbindung zugelassen. Die Sicherheit von SSL/TLS-Verschlüsselung hängt also maßgeblich von der Sicherheit und Vertrauenswürdigkeit der CAs ab. Wird eine CA kompromitiert, so kann das ganze Verschlüsselungssystem unterlaufen werden, indem Server mit gefäschten Zertifikaten aufgesetzt werden oder gar SSL-Gateways unbemerkt für Man-in-the-Middle-Attacken dem Client untergeschoben werden.

Mit Pinning, werden im Client zusätzliche Plausibilisierungs- und Sicherheitsregeln in Whitelists hinterlegt. Die Whitelist ordnen einem Hostname explizit einen oder mehrere öffentliche Schlüssel (Public Key Pinning), Zertifikate (Certificate Pinning) oder CAs (CA Pinning) zu und werden vom Client beim Aufbau überprüft. Außerdem können SSL/TLS-Parameter festgelegt werden, um schwache Verschlüsselungsverfahren zu vermeiden.

Siehe auch:
HPKP
HSTS

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

Gefahrenabwehr im SOC [22.09.2021]

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs. [mehr]

Grundlagen

Storage-Virtualisierung [16.06.2021]

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form. [mehr]