Firma Netcraft nedávno zjistila, že jen 0,09 % webů s HTTPS využívá možnost „přišpendlení“ veřejného klíče (HTTP Public Key Pinning, HPKP). Důležitým zjištěním ale také bylo, že skoro třetina webů má chybnou konfiguraci HPKP. Nyní si můžete v novém článku přečíst, jaké jsou nejčastější konfigurační chyby a jak jim předejít.
Administrátoři například zapomínají na nastavení maximálního stáří (max-age), používají chybné direktivy nebo je zapomínají uvádět, vloží pouze jediný veřejný klíč (jsou potřeba aspoň dva – aby bylo možné později změnit soukromý klíč serveru), nebo vloží sice dva, ale žádný z nich není záložní.
Záložní klíč je takový, jehož certifikát nepatří do řetězce certifikátů jiného klíče (nevede ke stejnému kořenovému certifikátu). Smyslem je, aby případná kompromitace certifikační autority neohrozila provoz webu (protože záložní klíč nemá s touto autoritou nic společného a lze na něj kdykoli přejít).
