A Google bejelentette, hogy a Chrome böngészőben megszüntetik egy IETF szabványos biztonsági mechanizmus, a HPKP (HTTP public key pinning – IETF 7469) támogatását, melynek kialakításában a vállalat szakemberei is közreműködtek. A döntést azzal indokolják, hogy míg korábban megfelelőnek tűnt, mára már veszélyessé, kockázatossá vált.

A HPKP-t arra alakították ki, hogy ha egy tanúsítványszolgáltató kompromittálódik, akkor mérsékeljék a kockázatokat: dióhéjban úgy működik, hogy a HTTPS webhely tulajdonosa időhatárosan megadhat egy fehérlistát a böngészőkliens által elfogadható tanúsítványokról (nyilvános kulcsú hash-ek formájában), hogy megakadályozza, hogy hamis tanúsítványokkal támadók man-in-the-middle módszerrel behatoljanak az adatáramlásba.

Ám az elmúlt időszakban a biztonsági szakemberek több hiányosságot is feltártak az eszköz működésében, például azt, hogy egy támadó hamis fehérlistákat tud létrehozni, illetve azt is, hogy egy oldal üzemeltetője szándéktalanul akár ki is zárhatja alap nélkül a felhasználókat az oldalról – ez utóbbi történt például a Smashing Magazine-nál, akik frissítették a tanúsítványokat, ám a házirendet nem, így a látogatók, akiknek a böngészőjében a régi HPKP-szabályok voltak érvényesek, nem érték el az oldalt.

Jelen pillanatban a Chrome, a Firefox és az Opera támogatják a HPKP-t, a Microsoft már korábban megvonta a támogatást. A tervek szerint az újítást a Chrome 67-es verziójában vezetik be, melynek stabil kiadása 2018. május 29-én fog megjelenni. A HPKP-t egyébként ma már viszonylag kevés oldalon használják, nekik a Google szakemberei az újabb, könnyebben használható és biztonságosabb Expect-CT header használatát javasolják.