Google abandonará el soporte de Chrome al estándar HPKP por la seguridad
El equipo de Chrome trata ahora de impulsar a los desarrolladores a usar Certificate Transparency y el relativamente nuevo Expect-CT.
Google abandonará el soporte de su navegador Chrome a HPKP, un estándar IETF que los ingenieros de Google desarrollaron para mejorar la seguridad web pero que ahora consideran perjudicial.
HPKP se diseñó para reducir el riesgo de que una Autoridad de Certificación (CA) falsifique certificados digitales para un sitio web, permitiendo que un atacante realice un ataque ‘man-in-the-middle’ en conexiones encriptadas TLS.
Al utilizar HPKP, cualquier sitio web puede indicar a los navegadores que recuerden o “fijen” qué claves públicas pertenecen a un servidor web específico durante un período de tiempo determinado. El navegador ignorará todas las demás claves públicas durante la duración establecida.
Actualmente, Chrome, Firefox y Opera son los únicos navegadores compatibles con HPKP, pero el equipo de seguridad de Chrome ha anunciado sus planes para eliminar el soporte en Chrome 67, cuyo lanzamiento está previsto para el 29 de mayo de 2018.
Los investigadores de seguridad han resaltado una serie de problemas con HPKP, incluida la posibilidad de que un atacante instale pins maliciosos que bloqueen accidentalmente a los visitantes de un sitio.
El equipo de Chrome trata ahora de impulsar a los desarrolladores a usar Certificate Transparency y el relativamente nuevo Expect-CT. “Expect-CT es más seguro que HPKP debido a la flexibilidad que brinda a los operadores de un sitio a recuperarse de cualquier error de configuración y debido al soporte integrado que ofrecen varias Autoridades de Certificación (CA)”, se ha concluido desde Google.