前回の Weekly Report では、Pre-loaded Public Key Pinning をご紹介しました。今回は IETF の websec WG で議論が進められている Public Key Pinning Extension for HTTP をご紹介します。 Public Key Pinning Extension for HTTP では、各 Web サイトが、サーバ証明書の検証で使用される公開鍵情報のハッシュ値を HTTP レスポンスヘッダに付加して Web ブラウザに伝えます。Web ブラウザは、ハッシュ値を保存し、次回アクセスからサーバ証明書の検証において、該当する公開鍵情報が証明書チェーンで使用されていることを確認します。 公開鍵情報のハッシュ値を保存している状態で不正なサーバにアクセスした場合、該当する公開鍵情報が証明書チェーンで使用されていないことを検出し、不正なサーバを識別することができます。
参考文書(日本語)
-
JPCERT/CC WEEKLY REPORT 2014-09-10
Pre-loaded Public Key Pinning
https://www.jpcert.or.jp/wr/2014/wr143501.html#Memo
参考文書(英語)
-
IETF
Public Key Pinning Extension for HTTP
https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/
Weekly Report 2014-09-18号 に掲載