这是一个功能请求或实际请求评论。
我希望在 _letsencrypt_ 客户端的未来版本中看到自动配置 Apache 和 nginx 的HTTP 严格传输安全和HTTP 公钥固定的标志。
此外,我认为引入一个选项将用户从 HTTP vHost 永久重定向到 HTTPS vHost(最好带有 HSTS 标头)以确保通过 HTTPS 访问 vHost 是有意义的。
例如,以下标志可用于此目的:
--use-hsts
- 在 vHost 中使用 HSTS
--hsts-age=n
- 将 HSTS 年龄设置为 n
--hsts-include-subdomains
- 也适用于子域
--use-hpkp
- 使用 HTTP 公钥固定
--hpkp-report-uri=URI
- 设置 HPKP 报告 URI
--hpkp-override-age=n
- 覆盖图钉的年龄
--hpkp-include-subdomains
- 在子域上应用 HPKP
这实际上是一个非常好的主意。 +1。
我们已经有一个 --hsts 的拉取请求,#1395。 HPKP 非常危险,如果没有大量的护理、测试和现场经验,我们不会为其添加任何形式的支持。
PR #1395 包含一个非常粗糙的 http-header 放置机制(例如,它设置了一个恒定的 max-age 时间),该机制将被弃用以用于更通用的机制。
因此,Certbot 现在确实有办法帮助您设置 HSTS。 我相信由于 Google 决定弃用该技术,我们现在不会继续改进 HPKP 支持。 :-(
最有用的评论
我们已经有一个 --hsts 的拉取请求,#1395。 HPKP 非常危险,如果没有大量的护理、测试和现场经验,我们不会为其添加任何形式的支持。