Ik heb een pinning rule voor de website www.security.nl gemaakt, en de website reageert correct wanneer in EMET een ander certificaat wordt opgegeven. Security.nl gebruikt thawte (344ED55720D5EDEC49F42FCE37DB2B6D) Primary Root, Vingerafdruk: 91C6D6EE3E8AC86384E548C299295C756C817B81
Indien een ander certificaat wordt gebruikt dan komt de foutmelding rechtsonder in het scherm, en verdwijnt weer naar enige seconden. De browser wordt niet afgesloten, en er gebeurt verder niks. Alleen een waarschuwing.
EMET werkt alleen maar in Microsoft Iexplorer, en niet in de ander browsers.
Inmiddels heb ik EMET ook op de website van de Rabobank en de ING getest, en daar komt direct ook een waarschuwing, dat het certificaat niet juist is.
Maar in de AbnAmro website komt er geen EMET waarschuwing, indien een onjuist certificaat in EMET wordt gebruikt.
Wat daar de reden van is, blijft voorlopig een raadsel.
Het is bovendien jammer te noemen, dat EMET ten aanzien van de browserveiligheid alleen maar werkt met Microsoft zijn eigen browser.