Baru-baru ini, Google menemukan bahwa otoritas sertifikat (CA) mengeluarkan sertifikat palsu untuk Google Domains. Ini berkompromi tergantung pada disuplai dengan mengantarkan Layer Safety (TLS) serta HTTP aman (HTTPS), memungkinkan pemegang sertifikat yang ditempa untuk melakukan serangan man-in-the-middle.
Untuk memvalidasi bahwa situs web yang Anda periksa adalah benar-benar yang mereka klaim asuransi, browser Anda memastikan bahwa sertifikat yang disediakan oleh server yang Anda akses ditandatangani oleh CA yang tepercaya. Ketika seseorang meminta sertifikat dari CA, mereka harus mengkonfirmasi identitas orang yang mengajukan permintaan. Browser Anda, serta sistem operasi, memiliki satu set CAS yang akhirnya tepercaya (disebut Root CAS). Jika sertifikat dikeluarkan oleh salah satu dari mereka, atau CA perantara yang mereka percayai, Anda akan bergantung pada koneksi. Seluruh struktur bergantung ini disebut rantai kepercayaan.
Dengan sertifikat tempa, Anda dapat membujuk klien bahwa server Anda benar-benar http://www.google.com. Anda dapat memanfaatkan ini untuk duduk di antara koneksi klien serta server Google yang sebenarnya, menguping sesi mereka.
Dalam hal ini, CA perantara melakukan hal itu. Ini menakutkan, karena merusak keselamatan bahwa kita semua tergantung pada setiap hari untuk semua transaksi aman di Internet. Sertifikat Pinning adalah salah satu alat yang dapat digunakan untuk menahan serangan jenis ini. Ini bekerja dengan mengaitkan pegangan dengan sertifikat tertentu. Jika itu berubah, koneksi tidak akan dipercaya.
Sifat terpusat TLS tidak berfungsi jika Anda tidak dapat bergantung pada pihak berwenang. Sayangnya, kita tidak bisa.