Certbot: Agregue la opción de configuración automática H̶S̶T̶S̶ ̶&̶ HPKP

Creado en 24 nov. 2015 · 4Comentarios · Fuente: certbot/certbot

Esta es una solicitud de función o en realidad una solicitud de comentarios.

Me gustaría ver indicadores para la configuración automática de HTTP Strict Transport Security y HTTP Public Key Pinning para Apache y nginx en las versiones futuras del cliente _letsencrypt_.

Además, creo que tendría sentido introducir una opción para redirigir permanentemente al usuario de un vHost HTTP a un vHost HTTPS (idealmente con un encabezado HSTS) para garantizar que se acceda al vHost a través de HTTPS.

Como ejemplo, las siguientes banderas podrían usarse para este propósito:

--use-hsts - Usar HSTS en el vHost
--hsts-age=n - Establecer la edad HSTS en n
--hsts-include-subdomains - Aplica también en subdominios

--use-hpkp - Usar fijación de clave pública HTTP
--hpkp-report-uri=URI - Establecer URI de informe de HPKP
--hpkp-override-age=n - Anular la edad del pin
--hpkp-include-subdomains - Aplicar HPKP en subdominios

security enhancements

Fuente

DatanoiseTV

👍2

Comentario más útil

Ya tenemos una solicitud de extracción para --hsts, #1395. HPKP es extremadamente peligroso y no vamos a agregar ningún tipo de soporte sin una gran cantidad de atención, pruebas y experiencia de campo primero.

pde en 24 nov. 2015

👍2

Todos 4 comentarios

Esa es realmente una muy buena idea. +1.

TheNavigat en 24 nov. 2015

pde en 24 nov. 2015

👍2

PR #1395 incluye un mecanismo de ubicación de encabezado http muy tosco (por ejemplo, establece un tiempo máximo constante) que quedará obsoleto por uno más versátil.

sagi en 25 nov. 2015

Entonces, Certbot ahora tiene una manera de ayudarlo a configurar HSTS para usted. Creo que no vamos a hacer un trabajo continuo para mejorar el soporte de HPKP ahora debido a la decisión de Google de desaprobar la tecnología. :-(