هذا واحد هو طلب ميزة أو في الواقع طلب للتعليقات.
أرغب في رؤية علامات التكوين التلقائي لـ HTTP Strict Transport Security & HTTP Public Key Pinning لـ Apache و nginx في الإصدارات المستقبلية من عميل _letsencrypt_.
علاوة على ذلك ، أعتقد أنه سيكون من المنطقي تقديم خيار لإعادة توجيه المستخدم بشكل دائم من مضيف HTTP إلى HTTPS vHost (بشكل مثالي مع رأس HSTS) لضمان الوصول إلى vHost عبر HTTPS.
على سبيل المثال ، يمكن استخدام العلامات التالية لهذا الغرض:
--use-hsts
- استخدم HSTS في مضيف vHost
--hsts-age=n
- اضبط عمر HSTS على n
--hsts-include-subdomains
- ينطبق أيضًا على المجالات الفرعية
--use-hpkp
- استخدم تثبيت المفتاح العام لـ HTTP
--hpkp-report-uri=URI
- تعيين عنوان URI لتقرير HPKP
--hpkp-override-age=n
- تجاوز عمر الدبوس
--hpkp-include-subdomains
- تطبيق HPKP على المجالات الفرعية
هذه في الواقع فكرة جيدة جدا +1.
لدينا بالفعل طلب سحب لـ --hsts، # 1395. HPKP خطير للغاية ولن نضيف أي شكل من أشكال الدعم له بدون قدر كبير من العناية والاختبار والخبرة الميدانية أولاً.
يتضمن PR # 1395 آلية وضع رأس http بدائية جدًا (على سبيل المثال ، تحدد وقتًا أقصى ثابتًا للعمر) والتي سيتم إهمالها لآلية أكثر تنوعًا.
لذلك ، لدى Certbot الآن طريقة للمساعدة في إعداد HSTS لك. أعتقد أننا لن نقوم بعمل مستمر لتحسين دعم HPKP الآن بسبب قرار Google بإيقاف التكنولوجيا. :-(
التعليق الأكثر فائدة
لدينا بالفعل طلب سحب لـ --hsts، # 1395. HPKP خطير للغاية ولن نضيف أي شكل من أشكال الدعم له بدون قدر كبير من العناية والاختبار والخبرة الميدانية أولاً.