Public-Key-Pins-Report-Only

Deprecated
This feature is no longer recommended. Though some browsers might still support it, it may have already been removed from the relevant web standards, may be in the process of being dropped, or may only be kept for compatibility purposes. Avoid using it, and update existing code if possible; see the compatibility table at the bottom of this page to guide your decision. Be aware that this feature may cease to work at any time.

Nota: O mecanismo de Fixação de Chave Pública (Public Key Pinning) foi depreciado em favor do Certificado de Transparência (Certificate Transparency) e do cabeçalho Expect-CT.

O cabeçalho de resposta HTTP Public-Key-Pins-Report-Only era utilizado para enviar relatórios de violação de fixação para a report-uri especificada em cabeçalho mas, diferente do Public-Key-Pins que ainda permite os navegadores se conectarem ao servidor se a fixação é violada. O cabeçalho é silenciosamente ignorado em navegadores modernos já que o suporte para HPKP foi removido. Use o Certificado de Transparência e o cabeçalho Expect-CT ao invés disso.

Para mais informação, veja a página de referência do cabeçalho Public-Key-Pins e o artigo de Fixação de Chaves Públicas HTTP (HTTP Public Key Pinning).

Tipo de cabeçalho Response header
Forbidden header name não

Sintaxe

Public-Key-Pins-Report-Only: pin-sha256="<pin-value>"; 
                             max-age=<expire-time>; 
                             includeSubDomains; 
                             report-uri="<uri>"

Diretivas

pin-sha256="<pin-value>"
A cadeia de caracteres entre aspas duplas é a impressão digital da Informação da Chave Pública do Sujeito [Subject Public Key Information (SPKI)] codificada em Base64. É possível especificar múltiplos pins para diferentes chaves públicas. Alguns navegadores podem permitir outros algoritmos de hasheamento além do SHA-256 no futuro.
max-age=<expire-time>
Esta diretiva não tem significado para o cabeçalho Public-Key-Pins-Report-Only, ela será ignorada pelos agentes de usuário e o cabeçalho não será cacheado.
includeSubDomains Optional
Se este parâmetro opcional for especificado, esta regra é aplicada a todos os subdomínios do site também.
report-uri="<uri>"
Falhas na validação da fixação são reportadas para a URL dada. Esta diretiva deve ser usada com este cabeçalho, caso contrário o cabeçalho não terá efeito.

Exemplo

Public-Key-Pins-Report-Only: 
  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs="; 
  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE="; 
  includeSubDomains; 
  report-uri="https://www.example.org/hpkp-report"

Neste exemplo, pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=" fixa a chave pública do servidor em produção. A segunda declaração de fixação pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=" também fixa a chave de backup. Esta fixação de chave também é válida para todos os subdomínios, que é dito pela declaração includeSubDomains. Finalmente, report-uri="https://www.example.org/hpkp-report" explica para onde devem ser reportar falhas de validação de fixação.

Especificações

Especificação Título
RFC 7469, sessão 2.1: Public-Key-Pins-Report-Only Public Key Pinning Extension for HTTP

Compatibilidade de navegador

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome for AndroidFirefox for AndroidOpera for AndroidSafari on iOSSamsung Internet
Public-Key-Pins-Report-Only
Deprecated
Chrome No support 46 — 72Edge No support NoFirefox No support No
Notes
No support No
Notes
Notes See bug 1091177.
IE No support NoOpera No support 33 — 60Safari No support NoWebView Android No support NoChrome Android No support ? — 72Firefox Android No support NoOpera Android No support 33 — 51Safari iOS No support NoSamsung Internet Android No support 5.0 — 11.0

Legend

No support  
No support
Deprecated. Not for use in new websites.
Deprecated. Not for use in new websites.
See implementation notes.
See implementation notes.

Veja também