Bài viết này cần thêm liên kết tới các bài bách khoa khác để trở thành một phần của bách khoa toàn thư trực tuyến Wikipedia. (tháng 7 2018) |
Bài viết này là một bài mồ côi vì không có bài viết khác liên kết đến nó. Vui lòng tạo liên kết đến bài này từ các bài viết liên quan; có thể thử dùng công cụ tìm liên kết. (tháng 7 2018) |
HTTP Public Key Pinning (HPKP hay PKP) là một cơ chế bảo mật được mô tả trong IETF RFC-7469 [1], mà các quản trị web có thể thiết lập thông qua tiêu đề HTTP trên các trang web HTTPS để chống lại những kẻ tấn công mạo danh bằng cách sử dụng chứng thực phát hành sai hoặc giả mạo. Để làm được điều này, khi người dùng kết nối tới trang web lần đầu, tiêu đề PKP sẽ cho trình duyệt của người dùng tải xuống danh sách các key công khai được tạo ra dựa trên chứng chỉ HTTPS của trang web. Khi người dùng trở lại trang web, trình duyệt sẽ lấy một trong các key đó và xác minh xem nó có phù hợp với chứng chỉ HTTPS hiện tại của trang web hay không. Nếu một kẻ tấn công cố giả mạo tên miền hợp pháp và đang sử dụng một chứng chỉ HTTPS hợp lệ, các key PKP sẽ không khớp và trình duyệt sẽ chặn người dùng xem trang web, cho rằng đó là kẻ lừa đảo hoặc giả mạo độc hại khác. [2] [3]