Zitat heise-Artikel:
> max-age=900
Das bedeutet [1], dass der Browser sich das Zertifikat für grade mal 15 Minuten merkt. Damit wird das ganze ziemlich nutzlos. Sobald ich eingeloggt bin, und Posteo nach einer halben Stunde wieder nutze, kann ein Angreifer wieder ein anderes Zertifikat benutzen. Wenn man z.B. an einem Wifi-Hotspot ist und jemand ein falsches Zertifiak unterschied, hilft dieses Pinning von 15 Minute gar nichts. Ditto wenn ich mit meinem Notebook in den Iran fahre. Ditto wenn irgendjemand fälschlicherweise Zertifikate für Posteo ausgestellt bekommen konnte und die großflächig benutzt.
Pinning sollte über Monate oder Jahre passieren.
Und sofern das nur ein "Test" war, dann ist es auch keinen heise-Artikel wert. Produkt-Placement?
[1] https://developer.mozilla.org/en-US/docs/Web/Security/Public_Key_Pinning