shikimi

shikimi

カレンダー

ブックマークタグ

登録情報はありません。
リファレンス

first-time visitors
user guide
謝辞

「みんなの翻訳」は情報通信研究機構言語翻訳グループ東京大学図書館情報学研究室による共同プロジェクトであり、三省堂国立情報学研究所連想情報学研究開発センターが開発に協力しています。三省堂には「グランドコンサイス英和辞典(36万項目収録)」の使用を許可していただきました。

連携研究グループはこちらをご覧ください。

「みんなの翻訳」を使っている翻訳グループについてはこちらをご覧ください。

バナー

logo

ポスター

poster

フライヤー

poster poster
Mozilla Firefox ブラウザ無料ダウンロード
本サイトはブラウザ「Mozilla Firefox」推奨です。
Firefox3で動作確認しています。

Valid XHTML 1.0 Transitional

site_image
HTTP Public Key Pinning
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
shikimi shikimi     最終更新:2017-10-01 12:05:50    PDF


文書タグ: IT百科事典

HTTP公開鍵ピニング

HTTP公開鍵ピニング(HPKP: HTTP Public Key Pinning)[1]とは、HTTPヘッダによって実現されるセキュリティの仕組みであり、HTTPSのウェブサイトが、間違って発行された証明書や不正な証明書を使用した攻撃者によるなりすましを阻むことを可能にする。それを行うために、一つあるいは一揃いの公開鍵をクライアント(ブラウザ)に交付し、そのクライアントはこのドメインへの接続を信頼された唯一のものでなければならない。

例えば、攻撃者は認証局を危殆化させ、本来のウェブに対する証明書を誤発行させるかもしれない。この危険性に抗するため、HTTPSウェブサーバはある一定の期間で有効な「ピン留めされた」公開鍵ハッシュの一覧を提供する;その後の接続において、その有効期間中、クライアントはそのサーバが証明書チェーンの中のそれらの公開鍵の一つ以上を使用していると想定する。もしそうではなかった場合、エラーメッセージが表示され、それをユーザが(容易く)無視することはできない。

一般的な認識に反して、その技術は証明書をピン留めするのではなく、公開鍵をピン留めする。これはつまり、ある人が秘密鍵へのアクセスをもつとき、いずれかの認証局から証明書を入手するために一対の鍵を使用できることを意味する。代わりの方法として、(認証局によって作成された)ルート証明書または中間証明書の公開鍵がピン留めされることもあり、それは続いて、この認証局によって発行されたあらゆる証明書を承認することになる。

目次

1 動作方法
2 報告
3 ブラウザ・サポート
4 関連項目
5 参考文献
6 外部リンク

動作方法

サーバはHTTP応答ヘッダフィールド名Public-Key-Pins(あるいは報告のみの目的にはPublic-Key-Pins-Report-Only)によってユーザ・エージェントにHPKP方針を伝える。

HPKP方針は、ウェブサイトの真正のX.509公開鍵証明書チェーン(と少なくとも一つのバックアップの鍵)にある証明書の一つとして、pin-sha256の指定で対象の公開鍵情報のハッシュを記す。max-ageの指定では、ユーザ・エージェントが公開鍵ピニングを実施することになる期間を定め、任意のincludeSubDomainsの指定はピニング方針で(ヘッダが送られるドメインの)すべてのサブドメインを含めるときに設定し、任意のreport-uriの指定はピニングの違反報告の送付先URLを設定する。証明書チェーンにおける証明書の公開鍵の少なくとも一つは、そのチェーンがユーザ・エージェントから有効なものだとみなされるために、ピン留めされた公開鍵と一致する必要がある。

公開時、RFC 7469はSHA-256ハッシュ・アルゴリズムだけを認めていた。HPKP方針のためのハッシュは、RFC 7469のAppendix A. に記載のシェルコマンドまたはサードパーティのツールで生成することができる。

ウェブサイト運用者は、そのウェブサイトのドメインに対する有効な証明書の発行をその認証局(とその鍵で署名されたすべての中間認証局)にのみ認め、特定のルート認証局のルート証明書公開鍵をピン留めすることを選ぶこともあれば、証明書を発行している一つあるいは複数の中間認証局の鍵をピン留めすることもあり、あるいはエンドエンティティの公開鍵をピン留めすることを選ぶこともできる。

現在のピン留めされた鍵を取り替える必要ができたときに備えて、少なくとも一つのバックアップ鍵はピン留めされなければならない。HPKPはこのバックアップ鍵なしでは有効ではない(バックアップ鍵は現行の証明書チェーンに提出されていない公開鍵と定義される)[2]。

HPKPはRFC 7469で標準化されている[1]。それを展開したものが静的な証明書のピン留めであり、ウェブブラウザとアプリケーションの内部に、広く知られているウェブサイトやサービスの公開鍵ハッシュをハードコードする[3]。

ほとんどのブラウザは、様々な企業のコンテンツ監視スキャナ[4]と(mitmproxyやFiddlerのような)ウェブ・デバッグ用ツールを可能にする私的なルート証明書をもつ証明書チェーンに対するピニングをできないようにしている。RFC 7469標準は、「ユーザ定義の」ルート証明書に対するピニングの違反報告の禁止を推奨し、そこではブラウザによるピンの妥当性検証を無効にすることが「許容される」[5]。

報告

ユーザ・エージェントがピン留めの妥当性検証を行い、提供されている証明書チェーンの中に有効なSPKI(Simple public-key infrastructure)の指紋を見つけられなかった場合、JSON形式の違反報告を、違反の詳細を含めてreport-uriで指定されているホストにPOSTする。接続の失敗により報告が行われると、ユーザ・エージェントは同じドメインにHPKP違反報告を送付できない。そのため、ホストは代わりとなるドメインを使うか報告サービスを使用しなければならない[6]。

ブラウザの中にはPublic-Key-Pins-Report-Onlyをサポートしているものもあり、それはユーザにエラーを表示していないときのみこの報告が行われる。

ブラウザ・サポート

HPKPはFirefoxとOpera、Chromeでサポートされているが[7]、Internet Explorer/Edgeではサポートされていない[8]。

関連項目

HTTP Strict Transport Security

参考文献

1. "RFC 7469 - Public Key Pinning Extension for HTTP". tools.ietf.org . Retrieved 2015-05-07.

2. "About Public Key Pinning". noncombatant.org . Retrieved 2015-05-07.

3. "Certificate and Public Key Pinning - OWASP". www.owasp.org . Retrieved 2015-05-07.

4. "Security FAQ - The Chromium Projects". www.chromium.org . Retrieved 2015-07-07.

5. "RFC 7469 - Public Key Pinning Extension for HTTP". tools.ietf.org . Retrieved 2015-07-07.

6. "HPKP Violation Reporting". Scott Helme.

7. "HTTP Public Key Pinning (HPKP)". Mozilla Developer Network . Retrieved 2017-05-27.

8. https://dev.modern.ie/platform/status/publickeypinningextensionforhttp/

外部リンク

Online browser HSTS and Public Key Pinning test

JavaScript Public-Key-Pins (HPKP) calculator

Article about the very beginning of HPKP

Public Key Pinning Extension for HTTP (HPKP) article on Mozilla Developer Network

HPKP Violation Reporting

HPKP Policy Analyser

HPKP Hash Generator (URL)

HPKP Hash Generator (PEM)

原文:https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Creative Commons License
この作品は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。
クリエイティブ・コモンズ・ライセンス外部リンク
新着文書(shikimi)

Double Ratchet Algorithm
ダブル・ラチェット・アルゴリズム 「ダブル・ラチェット」はこの項目へ転送されています。工具については レンチ を参照下さい。 暗号技術におい...
What do women’s rights have to do with the SDGs and the internet?
女性の権利はSDGsとインターネットにどのような関係があるか? 2017年8月2日、スリランカ 女性は均質な集団ではなく、科学技術へのアクセスもまた、...
Sexual rights and the internet: Third EROTICS global survey now launched!
性的権利とインターネット:第3回EROTICS国際調査、現在開始! 2017年7月19日 EROTICS国際調査が戻ってきた! もしあなたが、インターネットを自ら...

新着文書

GitLab Pages documentation
GitLab Documentation > User documentation > Projects >GitLab Pages 説明書  GitLabには「Gi...
GitLab Pages administration
  はじめに GitLab Pages機能 は、GitLab EE 8.3以降から使えるようになりました。 カスタムCNAMEにTLS証明書が使えるようになった のは、...
Tutorial: Securing your GitLab Pages with TLS and Let's Encrypt  | about gitlab.com / Guest author André Miranda
 GitLab Pagesで作られたサイトを、 Let's Encrypt でHTTPS化する方法をお教えします。   どうしてTLS/SSLが必要か  HTTPSについて話し...

新着Wikipedia翻訳

HTTP Public Key Pinning
HTTP公開鍵ピニング HTTP公開鍵ピニング(HPKP: HTTP Public Key Pinning)[1]とは、HTTPヘッダによって実現されるセキュリティの仕組みであり、HT...
Double Ratchet Algorithm
ダブル・ラチェット・アルゴリズム 「ダブル・ラチェット」はこの項目へ転送されています。工具については レンチ を参照下さい。 暗号技術におい...
aplay
 aplayとは ALSA sound card driver 用の コマンドライン オーディオファイルプレーヤーである。復数種類の ファイル形式 、様々なデバイスのサ...

更新履歴

キャンセル
ブックマーク登録

タグを「;(半角セミコロン)」区切りで入力して下さい(例)tag1;tag2;tag3
10タグまで登録可能。各タグ30文字まで

履歴
状態 作業中 作業予定あり 作業予定なし 作業完了
テーマ 社会 政治 法律 経済 文化 芸能 科学技術 IT 健康/医療 スポーツ メディア 植物 動物 菌類 地方 国際
地域 日本 東アジア アフリカ 南アジア 東南アジア 西アジア/中東 太平洋 北米 中南米 欧州
ジャンル ニュース 解説記事 論文 日記 百科事典

コメントを入力して下さい
0 / 250
    
ブックマーク登録

ブックマークに登録しました。


言語選択

    
ファイルプロパティ

使用許諾条件
ファイル情報
あなただけがこのファイルを閲覧・編集できます。
みんながこのファイルを閲覧できますが、
編集ができるのはあなただけです。
あなたに加えて、指定された人やグループが
このファイルを自由に閲覧・編集できます。
公開設定
編集設定
グループ:0組 翻訳者:0人
    
アクセス属性
この文書は「非公開」設定になっています。
一般公開する場合は、編集ページの書誌情報で「公開」設定に変更して下さい。
翻訳者選択

※メニュー「翻訳者管理」で翻訳者、グループを追加することができます。


    
ノート

非公開ノート
0 / 2000 ※「公開・編集」権限を持つ翻訳者のみに公開されます。
公開ノート
0 / 2000 ※文書を「公開」にした場合、一般に公開されます。

言語選択

 →