Pin Patrol es una extensión para mejorar la experiencia de uso de HSTS y HPKP en Chrome, mostrando esta información de forma mucho más sencilla de entender

Descripción de la tecnología

Se trata de una extensión para mejorar la experiencia de uso de HSTS y HPKP en Chrome. Muestra esta información de forma mucho más sencilla de entender. Es muy sencilla de usar y proporciona información muy útil acerca de los datos de HSTS y HPKP en el navegador… o en cualquier otro. Al llevarlo a Chrome, se ha convertido no solo en una simple extensión de Chrome, sino en una pequeña herramienta forense para interpretar los datos HPKP y HSTS de cualquier usuario de Chrome.

Funcionalidades

Chrome calcula un hash de los dominios con un formato estándar, para ofrecer cierta “privacidad” a los usuarios. Si un dominio se encuentra en el repositorio de HSTS y HPKP, significa que se ha visitado. Así que debería estar en el historial del navegador. Lo que la herramienta hace es tomar los dominios del histórico visitados y calcular su hash. Si ese hash coincide con alguno de los hashes en la lista de HSTS y HPKP, se “traduce” para que quede “deshasehado”. Algunas razones por las que un dominio podría quedar sin “traducir”:

- El historial ha sido borrado y los dominios ya no están allí, pero sí en el repositorio HSTS/HPKP.
- Algunas visitas a algunos dominios con HSTS y HPKP se pueden realizar en bambalinas de una web como parte de sus APIs, sistema de anuncios y no quedar almacenadas en el historial.

La información proporcionada por la herramienta es la que se almacena en el navegador pero traducida a una fórmula mucho más sencilla.

- Domain: dominio protegido bajo HSTS o HPKP.
- Date: el ultimo día que fue visitado un dominio.
- Expiration Time: se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.
- Mode: básicamente, force-https.
- IncludeSubdomains: indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.
- HPKP Pins: lista de pines en la cabecera HPKP.
- Report-uri: si el dominio usa la directiva report-uri para informar de “anomalías”.
Pin Patrol para Chrome
Tecnologías de Innovación

Pin Patrol para Firefox

Extensión de Firefox que muestra en formato legible el estado de HSTS (HTTP Strict Transport Security) y HPKP (HTTP Public Key Pins) de los dominios almacenados por el navegador.

EmetRules

EmetRules crea una configuración para ser importada a EMET, de manera que el usuario no necesite realizar ninguna acción.

Certificate Transparency

Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS.