Certbot: Ajouter l'option de configuration automatique H̶S̶T̶S̶ ̶&̶ HPKP

Créé le 24 nov. 2015 · 4Commentaires · Source: certbot/certbot

Celui-ci est une demande de fonctionnalité ou en fait une demande de commentaires.

J'aimerais voir des drapeaux pour la configuration automatique de HTTP Strict Transport Security & HTTP Public Key Pinning pour Apache et nginx dans les futures versions du client _letsencrypt_.

De plus, je pense qu'il serait logique d'introduire une option pour rediriger en permanence l'utilisateur d'un vHost HTTP vers le vHost HTTPS (idéalement avec un en-tête HSTS) pour garantir que le vHost est accessible via HTTPS.

À titre d'exemple, les drapeaux suivants pourraient être utilisés à cette fin :

--use-hsts - Utiliser HSTS dans le vHost
--hsts-age=n - Définissez l'âge HSTS sur n
--hsts-include-subdomains - S'applique également aux sous-domaines

--use-hpkp - Utiliser l'épinglage de clé publique HTTP
--hpkp-report-uri=URI - Définir l'URI du rapport HPKP
--hpkp-override-age=n - Remplacer l'âge de la broche
--hpkp-include-subdomains - Appliquer HPKP sur les sous-domaines

security enhancements

Source

DatanoiseTV

👍2

Commentaire le plus utile

Nous avons déjà une pull request pour --hsts, #1395. HPKP est extrêmement dangereux et nous n'allons ajouter aucune forme de support sans une énorme quantité de soins, de tests et d'expérience sur le terrain.

pde le 24 nov. 2015

👍2

Tous les 4 commentaires

C'est effectivement une très bonne idée. +1.

TheNavigat le 24 nov. 2015

pde le 24 nov. 2015

👍2

PR #1395 inclut un mécanisme de placement d'en-tête http très grossier (par exemple, il définit un temps d'âge maximum constant) qui sera déprécié pour un mécanisme plus polyvalent.

sagi le 25 nov. 2015

Ainsi, Certbot a maintenant un moyen de vous aider à configurer HSTS. Je pense que nous n'allons pas continuer à travailler sur l'amélioration du support HPKP maintenant en raison de la décision de Google de déprécier la technologie. :-(