在「Mozilla to Support Key Pinning in Firefox 32」看到的新聞,目前的標準還是 draft:「Public Key Pinning Extension for HTTP」。
被簡稱 PKP 與 HPKP:(一般比較常用前者)
We call this "public key pinning" (PKP); in particular, this document describes HTTP-based public key pinning (HPKP).
可以看到 Google Chrome 程式碼裡面是怎麼使用 PKP 技術預載的:「/trunk/src/net/http/transport_security_state_static.json」。
目前 Google Chrome 使用的方式是限制 Google 的網域只能由某些特定的 CA 才能簽,這樣可以降低其他 CA 簽出高經濟價值的 SSL certificate 的效益。
在 Mozilla 的 wiki 上面可以看到對應的條目:「SecurityEngineering/Public Key Pinning」,目前 Firefox 的版本是 31,也就是從下一個版本就支援了。
第一波的 32 版會支援 Mozilla 自己的某些站台,以及一些 Twitter 的網域。
第二波的 33 版會把 Twitter 的部份擴充到 *.twitter.com
,另外還會支援 Google 所擁有的網域。
第三波的 34 版會支援 Firefox account (*.accounts.firefox.com
)、Tor 以及 Dropbox。