Este é um pedido de recurso ou realmente um pedido de comentários.
Gostaria de ver sinalizadores para a configuração automática de HTTP Strict Transport Security e HTTP Public Key Pinning para Apache e nginx nas versões futuras do cliente _letsencrypt_.
Além disso, acho que faria sentido introduzir uma opção para redirecionar permanentemente o usuário de um HTTP vHost para o HTTPS vHost (idealmente com um cabeçalho HSTS) para garantir que o vHost esteja sendo acessado via HTTPS.
Como exemplo, os seguintes sinalizadores podem ser usados para essa finalidade:
--use-hsts
- Use HSTS no vHost
--hsts-age=n
- Defina a idade do HSTS para n
--hsts-include-subdomains
- Aplica-se também em subdomínios
--use-hpkp
- Use a fixação de chave pública HTTP
--hpkp-report-uri=URI
- Definir URI do relatório HPKP
--hpkp-override-age=n
- Substitui a idade do pin
--hpkp-include-subdomains
- Aplicar HPKP em subdomínios
Isso é realmente uma ideia muito boa. +1.
Já temos um pull request para --hsts, #1395. O HPKP é extremamente perigoso e não adicionaremos nenhuma forma de suporte a ele sem muito cuidado, testes e experiência de campo primeiro.
O PR #1395 inclui um mecanismo de posicionamento de cabeçalho http muito rudimentar (por exemplo, ele define um tempo de idade máximo constante) que será substituído por um mais versátil.
Portanto, o Certbot agora tem uma maneira de ajudar a configurar o HSTS para você. Acredito que não faremos um trabalho contínuo para melhorar o suporte HPKP agora devido à decisão do Google de descontinuar a tecnologia. :-(
Comentários muito úteis
Já temos um pull request para --hsts, #1395. O HPKP é extremamente perigoso e não adicionaremos nenhuma forma de suporte a ele sem muito cuidado, testes e experiência de campo primeiro.