Jednou z možností zvýšení bezpečnosti internetové komunikace je tzv. public key pinning (PKP), česky „přišpendlení“ veřejného klíče. Snižuje riziko plynoucí z případné kompromitace certifikačních autorit, protože umožňuje serveru předávat ve speciální hlavičce heše veřejných klíčů, které se používají a budou používat. Pokud se klient následně připojí k serveru a ten mu pošle klíč s neznámým hešem, je to signál, že se děje něco nekalého.
Hlavním nedostatkem této technologie je, že funguje až poté, co se klient k serveru poprvé připojí a získá data z hlaviček. Proto pokud útočník použije certifikát vystavený zkompromitovanou autoritou, ochrana nezafunguje a naopak se mohou přišpendlit klíče útočníka.
Od vydání specifikace HTTP Public Key Pinning (HPKP) v dokumentu RFC 7469 uběhl necelý rok a firma Netcraft zkoumala, jak se tato technologie rozšířila. Ukázalo se, že současné využití je zcela zanedbatelné – HPKP se využívá jen na 0,09 % webů komunikujících přes HTTPS. V absolutním čísle je to cca 4 100 webů, z toho jen asi 3 000 mají korektní konfiguraci.
HPKP se doporučuje používat společně s HSTS, ale technicky nic nebrání ani samostatnému nasazení, byť se ztrácí část „bezpečnostní síly“.
Webový prohlížeč Google Chrome/Chromium podporuje HPKP od verze 38, Mozilla Firefox od verze 35 (v obou případech tedy déle, než existuje oficiální specifikace). Naopak prohlížeče Microsoft Edge, Internet Explorer, Safari a Opera Mini tuto technologii nepodporují.
