ist eine Erweiterung des Protokolls HTTP, die als Standard federführend vom IETF entwickelt wird.
Über eine Liste (engl. whitelist) wird eine feste Zuordnung zwischen einem Zertifikat und einem Web-Server vorgegeben und damit sichergestellt, dass nur der gültige öffentliche Schlüssel (engl. public key) in der Zertifikatskette abgerufen werden kann. Dazu wird eine so genannte PIN vom Web-Server-Betreiber im HTTP-Header mitgeschickt, die festlegt, welchem Zertifikat der Browser vertrauen darf. Damit wird verhindert, dass mit gefälschten oder illegal ausgestellten Zertifikaten ein Angriff auf die Verschlüsselung der Verbindung mit SSL gestartet werden kann.
Laut SecuPedia unterstützen die Browser Google Chrome und Mozilla Firefox bereits die neue Sicherheitstechnik. Der Microsoft Internet Explorer benötigt - noch - die Ergänzung EMET.
Weiterführende Links
{Entwurf
- http://tools.ietf.org/html/draft-ietf-websec-key-pinning-21} @ IETF
[Enhanced Mitigation Experience Toolkit (EMET)
- http://support.microsoft.com/kb/2458544/de] @ Microsoft