Das Feature Key Pinning ist ein Security-Feature für HTTPS-Verbindungen welches in Firefox seit Version 32 (in Firefox für Android seit Version 34) enthalten ist.
Es gibt dabei einerseits HTTP Public Key Pinning (HPKP), welches von jeder Webseite genutzt werden kann, hier allerdings nicht weiter beleuchtet werden soll. Für eine Erklärung des Konzeptes sei auf diesen Artikel verwiesen: HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen - Golem.de
Ähnlich wie HPKP funktioniert auch das "andere" Key Pinning: Firefox hat für einige bekannte Seiten einen fest-einkodierten Fingerabdruck des SSL-Zertifikates und akzeptiert beim Aufruf der Seite dann nur diesen Schlüssel.
Für beide Systeme gibt es jedoch eine Ausnahme: Da es teilweise viele legitime Software gibt die SSL-Verbindungen abfängt (z.B. Antivierensoftware) oder dies auch gerne mal in Firmennetzen gemacht wird, wird bei einem Import eines Root-Zertifikates diese Funktion mehr oder minder deaktiviert, da der Man-in-the-middle-"Angriff" logischerweise sonst nicht funktionieren würde.
Und nun zum "harden": Diese Außnahme lässt sich auch deaktivieren. Im Browser dazu einfach about:config aufrufen und security.cert_pinning.enforcement_level auf 2 setzen.
Alle möglichen Werte sind:
- 0 = Public Key Pinning deaktiviert
- 1 = Nutzer-Man-in-the-middle erlauben (Standard)
- 2 = Strikt, Key Pinning ist immer aktiviert (verhindert MITM-Angriffe)
- 3 = Testmodus für Entwickler
Dadurch werden MITM-Angriffe wie die durch Superfish und Adguard unmöglich, allerdings können natürlich auch Antivierensysteme nicht mehr alle HTTPS-Seiten scannen, was in manchen Fällen wohl aber auch nicht allzu schlecht ist.
Quelle: SecurityEngineering/Public Key Pinning - MozillaWiki
Edit: Eine vollständige Sicherheit ist dadurch natürlich auch nicht gegeben, da auch Software, die nicht zu Firefox gehört, die Schalter der about:config theoretisch umstellen kann. Man sollte sich also nicht 100% auf diese Einstellung verlassen oder man schaut immer mal nach, wie sie gesetzt ist.
Edit2: Klargestellt, dass diese Einstellung sowohl HPKP als auch das integrierte Key Pinning beeinflusst.