Google chrome a-t-il tué l'épinglage de la clé publique?
J'ai lu de nombreux articles sur Google chrome tuant l'épinglage de la clé publique dans Chrome 67 (mai 2018). Voir ici , ici , et ici .
Cependant, je n'ai trouvé aucune information pour savoir si oui ou non ils ont vraiment appuyé sur la gâchette de leurs plans. De plus, dans mes propres efforts, je n'ai pas été en mesure de décider de manière concluante si le support d'épinglage de clé publique a été supprimé des versions récentes de Chrome. Cette page semble suggérer qu'elle a été supprimée dans Chrome 72, mais la discussion liée sur cette page fait la différence entre l'épinglage dynamique (qui doit être supprimé immédiatement) et statique) épinglage (qui peut continuer à être pris en charge pendant une période plus longue et non spécifiée). La page d'état ne me permet pas de savoir clairement quel "type" d'épinglage a été supprimé.
Les versions récentes de Chrome ignorent-elles les en-têtes d'épinglage de clé publique? Firefox ou Opera ont-ils fait de même?)
HPKP devait être supprimé dans Chrome 65, puis dans 67 et en fait obsolète dans v 69 .
Il n'existe plus en Chrome 72 et s'affiche comme supprimé , comme vous l'avez également trouvé.
TLS 1 et 1.1 sont également obsolètes dans v72.
Firefox a un débat à ce sujet ici .
Opera les versions 25 à 53 prennent en charge l'épinglage de clé publique.
Extrait de article Chrome 72 sur le blog Chromium :
Supprimer l'épinglage de clé publique basé sur HTTP
L'épinglage de clé publique basé sur HTTP (HPKP) était destiné à permettre aux sites Web d'envoyer un en-tête HTTP qui épingle une ou plusieurs des clés publiques présentes dans la chaîne de certificats du site. Malheureusement, son adoption est très faible, et bien qu'il offre une sécurité contre la mauvaise délivrance de certificats, il crée également des risques de déni de service et épinglage hostile . Pour ces raisons, cette fonctionnalité est supprimée .
HPKP a en effet été supprimé dans Chrome 72.