Description
Cette fonctionnalité est dépréciée, car difficile à mettre en place, sans parler des dangereux effets de bords si mal maîtrisée…
au profit de l’entête Expect-CT !
Sous ce nom très barbare, HPKP se cache une fonctionnalité de sécurité qui est censée protéger les sites internet contre le vol de leur identité. Cette technique protège les certificats SSL par l’ajout de clés publiques d’authentification adressées au client web. Si les clés ne correspondent pas, le client web doit interdire purement et simplement l’accès au site internet en question.
C’est une technique très complexe à implémenter car il faut gérer correctement ces clés, les latences entre les différentes clés, celles utilisées, celles de sauvegarde. Elle est recommandée uniquement pour les sites dits à haut risque.
Documentations
- En savoir plus : https://developer.mozilla.org/fr/docs/Web/Security/Public_Key_Pinning
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Public-Key-Pins-Report-Only
- Outils : https://scotthelme.co.uk/hpkp-toolset/
- Support actuel : http://caniuse.com/#search=hpkp