Dat mechanisme kan gezien worden als slot op de deur en moet aanvallen via valse SSL-certificaten voorkomen. En daar hebben we er de afgelopen jaren nogal wat van gezien, met als dieptepunt natuurlijk het Diginotar-drama. Mozilla ziet public key pinning als bruikbaar defensiemiddel tegen hackers die dataverkeer proberen te onderscheppen tussen twee computers via de Firefox-browser.

Dit moet zo man-in-the-middle aanvallen voorkomen. Public key pinning is een feature die we eerder geïntroduceerd zagen door Google. Chrome voert sinds juni 2011 eigen controle uit op certificaten voor bepaalde domeinen, zoals Google.com en Gmail.com.

Pinning error

In Firefox 32 (beschikbaar voor Windows, Mac, Linux en Android) moet certificate key pinning ervoor zorgen dat alleen root certificaten worden erkend. "Wanneer het root certificaat voor een vastgepinde site niet overeen komt met één van de betrouwbare certificaatautoriteiten, weigert Firefox de verbinding met een pinning error", legt security engineer Sid Stamm van Mozilla uit in een blog.

Pinning verbetert volgens Mozilla de beveiliging van implementaties zoals TLS (Transport Layer Security). Het laat site-eigenaren specifiek zien welke certificaatautoriteiten (CA's) veilige certificaten voor hen heeft uitgegeven, in plaats van het accepteren van één van de honderden ingebouwde root certificaten die meekomen met Firefox.