HTTP Public Key Pinning (HPKP) เป็นมาตรฐานการรักษาความปลอดภัยอีกขั้นของการทำ HTTPS โดยมันจะประกาศให้เว็บเบราว์เซอร์ล็อกกุญแจเอาไว้ไม่ให้รับกุญแจอื่นแม้จะได้รับการรับรองถูกต้อง แต่ล่าสุด Netcraft ออกมารายงานว่าแม้เว็บที่ทำ HPKP จะมีไม่มากนักแต่ในจำนวนนั้นกลับอิมพลีเมนต์ผิดกันเป็นจำนวนมากทำให้การล็อกกุญแจไม่มีผล

ประเด็นสำคัญของ HPKP คือ การล็อกกุญแจจะต้องล็อกทีละสองกุญแจขึ้นไปเท่านั้น โดยอย่างน้อยมีกุญแจหนึ่งเป็นกุญแจสำรอง เว็บจำนวนมากประกาศล็อกกุญแจไว้เพียงกุญแจเดียวทำให้เบราว์เซอร์ไม่ยอมล็อกกุญแจ เงื่อนไขนี้ประกาศเอาไว้เพื่อป้องกันไม่ให้เว็บถูกล็อกในกรณีที่กุญแจรั่วไหลและผู้ดูแลเว็บต้องสร้างใบรับรองใหม่ กรณีเช่นนี้ผู้ดูแลเว็บยังสามารถใช้กุญแจสำรองมาสร้างใบรับรองได้

อีกประเด็นคือการกำหนดอายุการจำกุญแจที่มีหน่วยเป็นวินาที การกำหนดค่าเพียงสั้นๆ เช่น 5 วินาที หรือ 10 วินาทีทำให้การป้องกันด้วย HPKP แทบไม่มีผล ส่วนประเด็นอื่นๆ มีตั้งแต่การใส่ค่ากุญแจผิดฟอร์แมต, ใส่แฮชเป็น SHA1 ที่ HPKP ไม่รองรับ, หรือบางครั้งก็พิมพ์ผิด

ทาง Netcraft ระบุว่าโดยรวมแล้วมีใบรับรองที่ล็อกด้วย HPKP อยู่เพียงประมาณ 4,100 ใบ เมือหักการล็อก HPKP ที่ผิดพลาดแล้วจะเหลือต่ำกว่า 3,000 ใบ หากใครสนใจจะอิมพลีเมนต์ HPKP ก็ควรเข้าไปอ่านบทความต้นทางถึงความผิดพลาดที่เกิดขึ้นบ่อยๆ

ที่มา - Netcraft