มาตรฐานล็อกหน่วยงานออกใบรับรองสำหรับเว็บ หรือ HPKP (HTTP Public Key Pinning) ถูกเสนอโดยกูเกิลเองตั้งแต่ปี 2015 จนได้เข้าเป็นมาตรฐาน RFC7469 แต่ตอนนี้กูเกิลก็ประกาศเลิกรองรับแล้ว โดยจะมีผลใน Chrome 67 ที่จะออกช่วงกลางปี 2018

กูเกิลระบุว่าจนทุกวันนี้มีเว็บไซต์ใช้ HPKP เพียงจำนวนน้อย โดย 1 ล้านเว็บแรกของ Alexa มีใช้ HPKP เพียง 375 เว็บ และมี 76 เว็บใช้ในโหมด report-only ตอนนี้เบราว์เซอร์หลักที่รองรับ HPKP มีเพียงไฟร์ฟอกซ์, โอเปร่า (ที่ใช้ Blink ด้วย), และโครม

ข้อเสียของ HPKP คือมันคอนฟิกยาก และมีความเสี่ยงผิดพลาดจนทำให้ผู้ใช้เข้าเว็บไม่ได้ อันตรายของมันกลายเป็นช่องโหว่ให้แฮกเกอร์ใช้โจมตีเว็บไซต์ที่เจาะมาได้ด้วยการคอนฟิก HPKP เพื่อให้เว็บเสียหายจากการที่ผู้ใช้จริงเข้าใช้งานไม่ได้เพราะถูกล็อกใบรับรองเป็นใบที่ไม่มีอยู่จริง

แนวทางของกูเกิลแนะนำให้ผู้ใช้เว็บหันไปใช้ Expect-CT แทน เพื่อให้เบราว์เซอร์ตรวจสอบว่าใบรับรองนี้เปิดเผยต่อล็อกสาธารณะหรือยัง หากไม่เปิดเผย (ไม่มีข้อมูล SCT ในการเชื่อมต่อ) ก็จะไม่ยอมเข้าเว็บอีกเลย แนวทางนี้ง่ายกว่าและสามารถแก้ไขได้หากมีความผิดพลาด

การล็อกใบรับรองนั้นเริ่มจากกูเกิลเองที่ล็อกใบรับรองของโดเมนตัวเองจำนวนหนึ่งไว้ในโครม การล็อกใบรับรองครั้งนั้นทำให้กูเกิลรู้ตัวว่าถูกออกใบรับรองปลอมจาก DigiNotar เมื่อปี 2011 กูเกิลระบุว่าแม้แต่โดเมนที่ถูกล็อกไว้กับโครมโดยตรงก็จะยกเลิกด้วย แต่กำหนดเวลาคือหลังจาก CA ทุกรายถูกบังคับให้เปิดเผยใบรับรองใน CT ทั้งหมดแล้ว

ที่มา - Blink-dev