La forza di HTTP Public Key Pinning (HPKP) è che i browser stanno salvando le chiavi dall'intestazione HTTP e possono controllare in futuro se il certificato dal sito web è valido.
Ho due domande a riguardo perché non sono riuscito a trovare una buona risposta:
- Supponiamo che l'intestazione HTTP indichi che il codice chiave è valido per 60 giorni (età massima). Dove viene salvato? Quando cancello la cronologia e la cache del browser ogni giorno, HPKP è inutile?
- Supponiamo, sono su un sito Web che supporta HPKP e l'intestazione HTTP dice che il codice pin è valido per 60 giorni. Ora, quando visito nuovamente il sito Web dopo una settimana e l'intestazione HTTP è sempre la stessa, è valida ancora per 60 giorni, giusto?