HTTP公钥固定 (HTTP Public Key Pinning），或称HPKP，可以防止欺诈者颁发伪造的TLS证书。尽管它能够有效抵御欺诈性证书的侵袭，而且一些浏览器一年多前就已经支持这项技术，采用它的HTTPS站点少之又少。

Netcraft在2016年3月的SSL调研中发现，只有不到0.1%的证书用于HPKP响应头。而在实际部署中，三分之一的运维者采用了错误的HPKP配置策略。HPKP部署门槛之高，显而易见。

即使已入门，也需要对维护给予高度重视：无论是常规维护还是实施紧急措施都有可能给合法的访问者带来巨大风险，而且是长期的。但是，只要部署正确、维护妥当，HPKP绝对是一项强大的安全技术。

HPKP防什么？

一个网站可以通过部署HTTPS, HSTS和HSTS preloading预加载抵御大部分中间人攻击。将所有这些技术叠加在一起，可以保证网站通信从发出请求到获得响应都是被加密和授权的。

尽管有这些技术可以有效抵御如pharming和sslstrip之类的攻击，还是有许多攻击正跃跃欲试。一个偏执的攻击者甚至可以通过说服CA为他签发一张伪造的证书，来攻击一个防设“完美”的HTTPS网站。

HPKP可以防止顾客进入持有效假冒证书的钓鱼网站。尽管两个站点都持有可信CA签发的证书，只有真实网站的证书链包含了客户端所期望的证书。浏览器会对每个包涵哈希函数的固定证书进行网站预访问。