{"id":1338,"date":"2015-12-02T12:30:58","date_gmt":"2015-12-02T11:30:58","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1338"},"modified":"2016-07-25T20:28:58","modified_gmt":"2016-07-25T18:28:58","slug":"pinning-test-im-firefox-bei-lokaler-root-ca-erzwingen","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/pinning-test-im-firefox-bei-lokaler-root-ca-erzwingen\/","title":{"rendered":"Pinning-Test im Firefox bei lokaler Root-CA erzwingen"},"content":{"rendered":"<p>In <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/certificate-pinning-mit-nginx\/\" target=\"_blank\">Certificate Pinning mit NGINX<\/a> habe ich das &#8222;Public Key Pinning for HTTP&#8220;[1. <a href=\"http:\/\/tools.ietf.org\/html\/rfc7469\" target=\"_blank\">RFC 7469<\/a>] und dessen Einrichtung mit dem Webserver NGINX[2. <a href=\"https:\/\/wiki.ubuntuusers.de\/nginx\" target=\"_blank\">Ubuntuusers.de-Wiki-Artikel zu NGINX<\/a>] beschrieben. Im vorliegenden Artikel beschreibe ich, wie man den Pinning-Test im Firefox auch bei Installation einer lokalen Root-CA aktiviert.<\/p>\n<p>Schmidt schreibt in seinem Artikel[3. Schmidt, J\u00fcrgen: Festgenagelte Zertifikate: TLS wird sicherer durch Certificate Pinning, in: c\u2019t magazin f\u00fcr computer technik, Nr. 23, 17.10.2015, Seite 120-121], dass Firefox in der Standardeinstellung s\u00e4mtliche Pinning-Tests deaktiviert, wenn nachtr\u00e4glich ein Root-CA-Zertifikat auf dem System installiert wurde. Um die Pinning-Tests auch in diesem Fall zu erzwingen ist der unten genannte Parameter auf der Seite &#8222;about:config&#8220; auf den Wert &#8222;2&#8220; zu setzen.<\/p>\n<pre>security.cert_pinning.enforcement_level\r\n<\/pre>\n<p>Dieser Parameter kann die folgenden Werte annehmen:<\/p>\n<ul>\n<li>0 -&gt; Schaltet die Pin-Pr\u00fcfung komplett ab.<\/li>\n<li>1 -&gt; Standardwert; F\u00fchrt Pin-Pr\u00fcfung durch, solange keine lokale Root-CA im Spiel ist.<\/li>\n<li>2 -&gt; Strict; Erzwingt die Pin-Pr\u00fcfung in jedem Fall.<\/li>\n<\/ul>\n<p><strong>Update vom 08.12.2015<\/strong><br \/>\nWie ich bei meinen Tests am vergangenen Wochenende herausgefunden habe, muss noch ein weiterer Parameter in der Firefox-Konfiguration angepasst werden, um das Public-Key-Pinning im Firefox bei Existenz eines Root CA Zertifikats zu aktivieren.<\/p>\n<pre>security.cert_pinning.process_headers_from_non_builtin_roots;true\r\n<\/pre>\n<p>Wir oben genannter Parameter auf &#8222;true&#8220; gesetzt, f\u00fchrt der Firefox den Pinning Test auch durch, wenn zus\u00e4tzliche Root-Zertifikate auf dem System installiert wurden.<\/p>\n<p>Einen ausf\u00fchrlichen Bericht zum Thema findet ihr auch in &#8222;<a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2016\/07\/Certificate_Pinning_mit_NGINX.pdf\">Certificate_Pinning_mit_NGINX (PDF)<\/a>&#8222;.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In Certificate Pinning mit NGINX habe ich das &#8222;Public Key Pinning for HTTP&#8220;[1. RFC 7469] und dessen Einrichtung mit dem Webserver NGINX[2. Ubuntuusers.de-Wiki-Artikel zu NGINX] beschrieben. Im vorliegenden Artikel beschreibe ich, wie man den Pinning-Test im Firefox auch bei Installation einer lokalen Root-CA aktiviert. Schmidt schreibt in seinem Artikel[3. Schmidt, J\u00fcrgen: Festgenagelte Zertifikate: TLS wird<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/pinning-test-im-firefox-bei-lokaler-root-ca-erzwingen\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[54,377,305,378],"class_list":["post-1338","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-firefox","tag-pin-pruefung","tag-planet","tag-rfc7469"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1338","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1338"}],"version-history":[{"count":6,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1338\/revisions"}],"predecessor-version":[{"id":1506,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1338\/revisions\/1506"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1338"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1338"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1338"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}