Przypinanie klucza publicznego HTTP ( HPKP ) to mechanizm bezpieczeństwa, który chroni strony internetowe przed kradzieżą tożsamości przed fałszywymi certyfikatami wydanymi przez przejęte certyfikaty. HPKP jest zdefiniowany w dokumencie RFC 7469. Jest teraz przestarzały w przeglądarce Chrome, która zamiast tego zaleca używanie nagłówka HTTP Expect-CT.
Przy pierwszym udanym połączeniu witryna przedstawia listę zawierającą klucze zaufania. Przeglądarka przechowuje tę listę.
Podczas kolejnych połączeń, jeśli prezentowanego klucza szyfrującego nie ma na przechowywanej liście, przeglądarka odmawia połączenia i blokuje witrynę, a następnie ponownie się z nią łączy.
Serwer musi przedstawić nagłówek HTTP Public-Key-Pins wskazujący:
Aby była ważna, lista reprezentująca zaufane klucze musi zawierać aktualnie używany klucz oraz nieużywany klucz (zwany także kluczem zapasowym).
HPKP jest obsługiwany przez przeglądarki Firefox , Opera , ale nie przez Internet Explorer / Edge . Chrome ogłosił plany usunięcia HPKP wpaździernik 2017, wycofał go w kwietniu 2018 r. w wersji 67 i przestał wspierać go w grudniu 2018 r. w wersji 72.