これは機能のリクエストまたは実際のコメントのリクエストです。
_letsencrypt_クライアントの将来のバージョンで、ApacheおよびnginxのHTTP Strict TransportSecurityとHTTP公開鍵ピンニングの自動構成のフラグを確認したいと思います。
さらに、ユーザーをHTTPvHostからHTTPSvHost(理想的にはHSTSヘッダー付き)に永続的にリダイレクトして、vHostがHTTPS経由でアクセスされるようにするオプションを導入することは理にかなっていると思います。
例として、次のフラグをこの目的に使用できます。
--use-hsts
-vHostでHSTSを使用する
--hsts-age=n
-HSTS年齢をnに設定します
--hsts-include-subdomains
-サブドメインにも適用されます
--use-hpkp
-HTTP公開鍵ピンニングを使用する
--hpkp-report-uri=URI
-HPKPレポートURIを設定します
--hpkp-override-age=n
-ピンの年齢を上書きします
--hpkp-include-subdomains
-サブドメインにHPKPを適用する
それは実際には非常に良い考えです。 +1。
--hsts、#1395のプルリクエストはすでにあります。 HPKPは非常に危険であり、最初に多大な注意、テスト、および現場での経験がなければ、HPKPのサポートを追加することはありません。
PR#1395には、非常に大雑把なhttpヘッダー配置メカニズムが含まれています(たとえば、一定の最大経過時間を設定します)。これは、より用途の広いものとして非推奨になります。
そのため、CertbotにはHSTSの設定を支援する方法があります。 Googleがテクノロジーを廃止することを決定したため、HPKPサポートの改善に継続的に取り組むつもりはないと思います。 :-(
最も参考になるコメント
--hsts、#1395のプルリクエストはすでにあります。 HPKPは非常に危険であり、最初に多大な注意、テスト、および現場での経験がなければ、HPKPのサポートを追加することはありません。