HTTP Public Key Pinning

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

HTTP Public Key Pinning (HPKP) est un mécanisme de sécurité qui protège les sites internet de l'usurpation d'identité contre les certificats frauduleux émis par des autorités de certification compromises.

HPKP est défini par la RFC 7469[1] [2]

Fonctionnement[modifier | modifier le code]

À la première connexion réussie, le site présente une liste représentant les clés de confiances. Le navigateur mémorise cette liste.

Lors des connexions suivantes, si la clé de chiffrement présentée n'est pas présente dans la liste mémorisée, le navigateur refuse la connexion et bloque le site puis s'y reconnecte.

Mise en place[modifier | modifier le code]

Le serveur doit présenter l'en-tête HTTP Public-Key-Pins en indiquant :

  • Une liste représentant les clés de confiance
  • La durée pendant laquelle cette liste doit être mémorisée

Pour être valide, la liste représentant les clés de confiance doit obligatoirement contenir une clé actuellement utilisée ainsi qu'une clé non utilisée (aussi appelée clé de sauvegarde).

Browser support[modifier | modifier le code]

HPKP est supporté par Firefox, Opera et Chrome[3], mais pas par Internet Explorer/Edge[4]. Chrome ont annoncé leur intention de supprimer HPKP[5].

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Références[modifier | modifier le code]