上篇文章中，我介绍了由 Google 推动的 Certificate Transparency 技术，它旨在通过开放的审计和监控系统，提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning（HPKP），也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击，但有着与 CT 不同的思路。 我们知道，受信任的 CA（证书颁发机构）有好几百个，他们成为整个网站身份认证过程中一个较大的攻击面。现有的证书信任链机制最大的问题是，任何一家受信任的 CA 都可以签发任意网站的站点证书，这些证书在浏览器看来，都是合法的。前面提到的 CT 技术能改善这种情况，但 CT 还没有普及，现阶段浏览器不能贸然阻断没有提供 SCT 信息的 HTTPS 网站。