HTTP Public Key Pinning: Vorübergehend deaktivieren / löschen

HTTP Public Key Pinning (HPKP) ist eine Technik mit der sichergestellt werden soll, dass ein SSL-Zertifikat von einer Webseite, die einmal besucht wurde, für einen gewissen Zeitraum nicht unbemerkt ausgetauscht werden kann. Hierfür wird eine Liste gültiger Zertifikate wird mittels des HTTP Header "Public-Key-Pins" vom Server an den Browser schickt. Dieser kann dann bei weiteren Zugriffen prüfen, ob der Server ein gültiges Zertifikat vorweisen kann. Das Verfahren ist nicht unumstritten, denn Fehler beim Zertifikatswechsel können dafür sorgen, dass Nutzer nicht mehr auf eine Webseite zugreifen können. Genau dies ist jetzt auch bei der Webseite der Piratenpartei Hessen passiert.

Und nun?

Wer von dem Fehler betroffen ist, hat verschiedene Möglichkeiten um wieder Zugriff auf die Webseite erhalten. Sie reichen vom Wechsel des Browsers auf einen, der die Seite noch nicht besucht hat bis hin zum Anlegen einen neuen Browser-Profils. Was aber glücklicherweise in Firefox auch funktioniert, ist HPKP kurzfristig zu deaktiveren, die Seite aufzurufen, und es wieder zu aktivieren. In Chrome dagegen kann man die HTTP Strict Transport Security (HSTS) Einstellungen für einzelne Webseiten direkt löschen.

Firefox


Wenn man diese Fehlermeldung sieht, gibt man oben in der Adressezeile "about:config" ein.

Es erscheint diese Seite:

Nach einem mutigen Klick auf den blauen Button, gibt man bei "Suchen" "pinning" ein:

Nach einem Doppelklick auf "security.cert_pinning.enforcement_level" setzt man den Wert von "1" auf "0" und ruft die betroffene Seite auf.

Der Browser erhält einen frischen Satz an HPKP-Daten. Jetzt setzt man den Wert zurück auf "1" und hat die Prüfung wieder aktiviert.

Chrome

Hier sieht die Fehlermeldung so aus:

Jetzt gibt man in der Adresszeile "chrome://net-internals/#hsts" ein:

Bei "Delete domain" gibt man die Betroffene Seite an, z.B. www.piratenpartei-hessen.de, klickt auf "Delete" und ruft die betroffene Seite auf. Der Browser erhält einen frischen Satz an HPKP-Daten und die Seite kann wieder genutzt werden.

Trackback URL for this post:

https://blog.christian-hufgard.de/trackback/580
Noch keine Bewertungen

Bewerte dies

Noch keine Bewertungen