Certbot: H̶S̶T̶S̶ ̶&̶ HPKP-Autokonfigurationsoption hinzufügen

Erstellt am 24. Nov. 2015  ·  4Kommentare  ·  Quelle: certbot/certbot

Dies ist eine Feature-Anfrage oder eigentlich eine Bitte um Kommentare.

Ich würde gerne Flags für die automatische Konfiguration von HTTP Strict Transport Security & HTTP Public Key Pinning für Apache und nginx in den zukünftigen Versionen des _letsencrypt_-Clients sehen.

Außerdem fände ich es sinnvoll, eine Option einzuführen, um den Benutzer dauerhaft von einem HTTP-vHost auf den HTTPS-vHost umzuleiten (idealerweise mit einem HSTS-Header), um sicherzustellen, dass der vHost über HTTPS angesprochen wird.

Als Beispiel könnten die folgenden Flags für diesen Zweck verwendet werden:

--use-hsts - Verwenden Sie HSTS im vHost
--hsts-age=n - Setzen Sie das HSTS-Alter auf n
--hsts-include-subdomains - Gilt auch für Subdomains

--use-hpkp - Verwenden Sie das Anheften öffentlicher HTTP-Schlüssel
--hpkp-report-uri=URI - HPKP-Berichts-URI festlegen
--hpkp-override-age=n - Überschreibt das Alter des Pins
--hpkp-include-subdomains - Wenden Sie HPKP auf Subdomains an

security enhancements
Quelle
picture DatanoiseTV
👍2

Hilfreichster Kommentar

Wir haben bereits einen Pull-Request für --hsts, #1395. HPKP ist extrem gefährlich und wir werden keine Form von Unterstützung dafür ohne eine große Menge an Sorgfalt, Tests und Felderfahrung hinzufügen.

picture pde am 24. Nov. 2015
👍2

Alle 4 Kommentare

Das ist eigentlich eine sehr gute Idee. +1.

TheNavigat picture TheNavigat am 24. Nov. 2015

Wir haben bereits einen Pull-Request für --hsts, #1395. HPKP ist extrem gefährlich und wir werden keine Form von Unterstützung dafür ohne eine große Menge an Sorgfalt, Tests und Felderfahrung hinzufügen.

pde picture pde am 24. Nov. 2015
👍2

PR #1395 enthält einen sehr groben HTTP-Header-Platzierungsmechanismus (z. B. setzt er eine konstante maximale Alterszeit), der für einen vielseitigeren veraltet sein wird.

sagi picture sagi am 25. Nov. 2015

Certbot hat jetzt also eine Möglichkeit, Ihnen beim Einrichten von HSTS zu helfen. Ich glaube, wir werden jetzt nicht weiter an der Verbesserung der HPKP-Unterstützung arbeiten, da Google entschieden hat, die Technologie abzulehnen. :-(

schoen picture schoen am 10. Dez. 2018
🎉1
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

schoen picture schoen  ·  3Kommentare
marceliwac picture marceliwac  ·  3Kommentare
Mattia98 picture Mattia98  ·  3Kommentare
KeiroD picture KeiroD  ·  4Kommentare
DirkWolthuis picture DirkWolthuis  ·  3Kommentare