La fortaleza de la Fijación de Clave Pública HTTP (HPKP) es que los navegadores están guardando las claves del encabezado HTTP y pueden verificar en el futuro si el certificado del sitio web es válido.
Tengo dos preguntas sobre eso porque no pude encontrar una buena respuesta:
- Supongamos que, el encabezado HTTP dice que el pin clave es válido por 60 días (edad máxima). ¿Dónde se guarda? Cuando borro el historial de mi navegador y la memoria caché todos los días, ¿HPKP no tiene sentido entonces?
- Supongamos que estoy en un sitio web que admite HPKP y el encabezado HTTP dice que el pin de la clave es válido por 60 días. Ahora, cuando vuelvo a visitar el sitio web después de una semana y el encabezado HTTP sigue siendo el mismo, entonces es válido por 60 días una vez más, ¿verdad?