Certbot: 添加 H̶S̶T̶S̶̶&̶ HPKP 自动配置选项

创建于 2015-11-24  ·  4评论  ·  资料来源: certbot/certbot

这是一个功能请求或实际请求评论。

我希望在 _letsencrypt_ 客户端的未来版本中看到自动配置 Apache 和 nginx 的HTTP 严格传输安全HTTP 公钥固定的标志。

此外,我认为引入一个选项将用户从 HTTP vHost 永久重定向到 HTTPS vHost(最好带有 HSTS 标头)以确保通过 HTTPS 访问 vHost 是有意义的。

例如,以下标志可用于此目的:

--use-hsts - 在 vHost 中使用 HSTS
--hsts-age=n - 将 HSTS 年龄设置为 n
--hsts-include-subdomains - 也适用于子域

--use-hpkp - 使用 HTTP 公钥固定
--hpkp-report-uri=URI - 设置 HPKP 报告 URI
--hpkp-override-age=n - 覆盖图钉的年龄
--hpkp-include-subdomains - 在子域上应用 HPKP

security enhancements
资料来源
picture DatanoiseTV
👍2

最有用的评论

我们已经有一个 --hsts 的拉取请求,#1395。 HPKP 非常危险,如果没有大量的护理、测试和现场经验,我们不会为其添加任何形式的支持。

picture pde 于 2015-11-24
👍2

所有4条评论

这实际上是一个非常好的主意。 +1。

TheNavigat picture TheNavigat 于 2015-11-24

我们已经有一个 --hsts 的拉取请求,#1395。 HPKP 非常危险,如果没有大量的护理、测试和现场经验,我们不会为其添加任何形式的支持。

pde picture pde 于 2015-11-24
👍2

PR #1395 包含一个非常粗糙的 http-header 放置机制(例如,它设置了一个恒定的 max-age 时间),该机制将被弃用以用于更通用的机制。

sagi picture sagi 于 2015-11-25

因此,Certbot 现在确实有办法帮助您设置 HSTS。 我相信由于 Google 决定弃用该技术,我们现在不会继续改进 HPKP 支持。 :-(

schoen picture schoen 于 2018-12-10
🎉1
此页面是否有帮助?
0 / 5 - 0 等级

相关问题

Mattia98 picture Mattia98  ·  3评论
GEEK-WALKER picture GEEK-WALKER  ·  3评论
bmw picture bmw  ·  3评论
pfigel picture pfigel  ·  3评论
NiklasMerz picture NiklasMerz  ·  3评论