ZertifikatPinning - Infinite Lexicon - Infinite Lexicon

ZertifikatPinning

Zertifikatpinning, auch TLS-Pinning genannt, ist eine Technik der Netzwerksicherheit, bei der ein Client festlegt, welches Zertifikat oder welcher öffentliche Schlüssel dem Server vertrauenswürdig ist. Dadurch wird der standardmäßige Zertifikatsvalidierungsprozess erweitert: Selbst bei einem kompromittierten oder falsch ausgestellten Zertifikat soll der Client die Verbindung auf Grundlage des vordefinierten Pins ablehnen. Ziel ist es, Man-in-the-Middle-Angriffe zu verhindern, insbesondere in Netzwerken mit ungesicherten Verbindungen oder bei fehlerhaften Zertifizierungsstellen.

Prinzipiell werden Pins als Hash des Subject Public Key Info (SPKI-Hash) oder als Hash eines Zertifikats gespeichert.

Anwendungsbereiche finden sich vor allem in mobilen Apps, API-Clients, VPN- oder IoT-Systemen, wo herkömmliche PKI-basierten Validierung

Empfohlene Praxis umfasst das Speichern mehrerer Pins (z. B. zwei oder mehr alternative öffentliche Schlüssel), einen

Verbindungsaufbau

Web-HTTP-Variante,

Betriebsrisiken.

kompromittierten

Zertifizierungsstellen

Man-in-the-Middle-Situationen.

Pin-Verwaltungsbelastung:

Zertifikatrotation

Schlüsselwechsel

Notfallstrategie,

spezialisierten

Rotationszyklen