Certbot: H̶S̶T̶S̶̶&̶HPKP自動設定オプションを追加する

作成日 2015年11月24日  ·  4コメント  ·  ソース: certbot/certbot

これは機能のリクエストまたは実際のコメントのリクエストです。

_letsencrypt_クライアントの将来のバージョンで、ApacheおよびnginxのHTTP Strict TransportSecurityHTTP公開鍵ピンニングの自動構成のフラグを確認したいと思います。

さらに、ユーザーをHTTPvHostからHTTPSvHost(理想的にはHSTSヘッダー付き)に永続的にリダイレクトして、vHostがHTTPS経由でアクセスされるようにするオプションを導入することは理にかなっていると思います。

例として、次のフラグをこの目的に使用できます。

--use-hsts -vHostでHSTSを使用する
--hsts-age=n -HSTS年齢をnに設定します
--hsts-include-subdomains -サブドメインにも適用されます

--use-hpkp -HTTP公開鍵ピンニングを使用する
--hpkp-report-uri=URI -HPKPレポートURIを設定します
--hpkp-override-age=n -ピンの年齢を上書きします
--hpkp-include-subdomains -サブドメインにHPKPを適用する

security enhancements
ソース
picture DatanoiseTV
👍2

最も参考になるコメント

--hsts、#1395のプルリクエストはすでにあります。 HPKPは非常に危険であり、最初に多大な注意、テスト、および現場での経験がなければ、HPKPのサポートを追加することはありません。

picture pde 2015年11月24日
👍2

全てのコメント4件

それは実際には非常に良い考えです。 +1。

TheNavigat picture TheNavigat 2015年11月24日

--hsts、#1395のプルリクエストはすでにあります。 HPKPは非常に危険であり、最初に多大な注意、テスト、および現場での経験がなければ、HPKPのサポートを追加することはありません。

pde picture pde 2015年11月24日
👍2

PR#1395には、非常に大雑把なhttpヘッダー配置メカニズムが含まれています(たとえば、一定の最大経過時間を設定します)。これは、より用途の広いものとして非推奨になります。

sagi picture sagi 2015年11月25日

そのため、CertbotにはHSTSの設定を支援する方法があります。 Googleがテクノロジーを廃止することを決定したため、HPKPサポートの改善に継続的に取り組むつもりはないと思います。 :-(

schoen picture schoen 2018年12月10日
🎉1
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

marceliwac picture marceliwac  ·  3コメント
realtebo picture realtebo  ·  3コメント
eonwhite picture eonwhite  ·  3コメント
GEEK-WALKER picture GEEK-WALKER  ·  3コメント
TheNikomo picture TheNikomo  ·  3コメント