Celui-ci est une demande de fonctionnalité ou en fait une demande de commentaires.
J'aimerais voir des drapeaux pour la configuration automatique de HTTP Strict Transport Security & HTTP Public Key Pinning pour Apache et nginx dans les futures versions du client _letsencrypt_.
De plus, je pense qu'il serait logique d'introduire une option pour rediriger en permanence l'utilisateur d'un vHost HTTP vers le vHost HTTPS (idéalement avec un en-tête HSTS) pour garantir que le vHost est accessible via HTTPS.
À titre d'exemple, les drapeaux suivants pourraient être utilisés à cette fin :
--use-hsts
- Utiliser HSTS dans le vHost
--hsts-age=n
- Définissez l'âge HSTS sur n
--hsts-include-subdomains
- S'applique également aux sous-domaines
--use-hpkp
- Utiliser l'épinglage de clé publique HTTP
--hpkp-report-uri=URI
- Définir l'URI du rapport HPKP
--hpkp-override-age=n
- Remplacer l'âge de la broche
--hpkp-include-subdomains
- Appliquer HPKP sur les sous-domaines
C'est effectivement une très bonne idée. +1.
Nous avons déjà une pull request pour --hsts, #1395. HPKP est extrêmement dangereux et nous n'allons ajouter aucune forme de support sans une énorme quantité de soins, de tests et d'expérience sur le terrain.
PR #1395 inclut un mécanisme de placement d'en-tête http très grossier (par exemple, il définit un temps d'âge maximum constant) qui sera déprécié pour un mécanisme plus polyvalent.
Ainsi, Certbot a maintenant un moyen de vous aider à configurer HSTS. Je pense que nous n'allons pas continuer à travailler sur l'amélioration du support HPKP maintenant en raison de la décision de Google de déprécier la technologie. :-(
Commentaire le plus utile
Nous avons déjà une pull request pour --hsts, #1395. HPKP est extrêmement dangereux et nous n'allons ajouter aucune forme de support sans une énorme quantité de soins, de tests et d'expérience sur le terrain.