Vào chiều ngày 28/10 vừa qua, Google đã công bố sẽ xóa bỏ hỗ trợ PKP trong trình duyệt mã nguồn mở Chromium (cũng có nghĩa là xóa bỏ trong Chrome).
PKP - tên viết tắt của Public Key Pinning, là một hệ thống được mô tả trong IETF RFC-7469 mà các quản trị web có thể sử dụng với các trang web HTTPS.
PKP (còn được gọi là HPKP) cho phép nhà điều hành thiết lập tiêu đề HTTP cho trang web của mình. Khi người dùng kết nối tới trang web lần đầu, tiêu đề PKP sẽ cho trình duyệt của người dùng tải xuống danh sách các key công khai được tạo ra dựa trên chứng chỉ HTTPS của trang web.
Khi người dùng trở lại trang web, trình duyệt sẽ lấy một trong các key đó và cố gắng xác minh xem nó có phù hợp với chứng chỉ HTTPS hiện tại của trang web hay không.
Nếu một kẻ tấn công cố giả mạo tên miền hợp pháp và đang sử dụng một chứng chỉ HTTPS hợp lệ, các key PKP sẽ không khớp và trình duyệt sẽ chặn người dùng xem trang web, cho rằng đó là kẻ lừa đảo hoặc giả mạo độc hại khác.
Khi mới được ra mắt, các chuyên gia bảo mật tung hô PKP như một lớp bảo mật được nhiều người chào đón và các nhà khai thác trang web có thể triển khai để hỗ trợ HTTPS.
Tuy nhiên, trên thực tế, PKP rất khó triển khai và bất kì lỗi nào trong việc thiết lập PKP có thể dẫn đến hậu quả khôn lường. Các lỗi sẽ khiến người dùng tải key không hợp lệ hoặc trang web có một chứng chỉ khác, ngăn chặn người dùng truy cập URL hàng giờ, hàng ngày và thậm chí hàng tháng. Đối với các trang web dựa vào lưu lượng quảng cáo để thanh toán hóa đơn cho máy chủ, PKP sẽ trở thành vấn đề thực sự. Đó là nguyên nhân khiến nhiều nhà quản trị web không sử dụng nó nữa.
Google dự kiến gỡ bỏ PKP trong phiên bản Chrome 67 vào tháng 5/2018
Theo kĩ sư Chris Palmer của Google, những khó khăn kĩ thuật là lý do Google dự định loại bỏ tính năng này khỏi Chrome.
Palmer cho hay: Chúng tôi sẽ làm điều này trong Chrome 67, dự kiến sẽ phát hành trong phiên bản Stable vào ngày 29 tháng 5 năm 2018.
Đây mới chỉ là ý định của Google, người dùng có thể đưa ra ý kiến phản đối quyết định này của hãng nhưng nhiều khả năng là PKP vẫn sẽ không được thông qua.