Certbot: Adicione a opção de configuração automática H̶S̶T̶S̶ ̶&̶ HPKP

Criado em 24 nov. 2015  ·  4Comentários  ·  Fonte: certbot/certbot

Este é um pedido de recurso ou realmente um pedido de comentários.

Gostaria de ver sinalizadores para a configuração automática de HTTP Strict Transport Security e HTTP Public Key Pinning para Apache e nginx nas versões futuras do cliente _letsencrypt_.

Além disso, acho que faria sentido introduzir uma opção para redirecionar permanentemente o usuário de um HTTP vHost para o HTTPS vHost (idealmente com um cabeçalho HSTS) para garantir que o vHost esteja sendo acessado via HTTPS.

Como exemplo, os seguintes sinalizadores podem ser usados ​​para essa finalidade:

--use-hsts - Use HSTS no vHost
--hsts-age=n - Defina a idade do HSTS para n
--hsts-include-subdomains - Aplica-se também em subdomínios

--use-hpkp - Use a fixação de chave pública HTTP
--hpkp-report-uri=URI - Definir URI do relatório HPKP
--hpkp-override-age=n - Substitui a idade do pin
--hpkp-include-subdomains - Aplicar HPKP em subdomínios

security enhancements
Fonte
picture DatanoiseTV
👍2

Comentários muito úteis

Já temos um pull request para --hsts, #1395. O HPKP é extremamente perigoso e não adicionaremos nenhuma forma de suporte a ele sem muito cuidado, testes e experiência de campo primeiro.

picture pde em 24 nov. 2015
👍2

Todos 4 comentários

Isso é realmente uma ideia muito boa. +1.

TheNavigat picture TheNavigat em 24 nov. 2015

Já temos um pull request para --hsts, #1395. O HPKP é extremamente perigoso e não adicionaremos nenhuma forma de suporte a ele sem muito cuidado, testes e experiência de campo primeiro.

pde picture pde em 24 nov. 2015
👍2

O PR #1395 inclui um mecanismo de posicionamento de cabeçalho http muito rudimentar (por exemplo, ele define um tempo de idade máximo constante) que será substituído por um mais versátil.

sagi picture sagi em 25 nov. 2015

Portanto, o Certbot agora tem uma maneira de ajudar a configurar o HSTS para você. Acredito que não faremos um trabalho contínuo para melhorar o suporte HPKP agora devido à decisão do Google de descontinuar a tecnologia. :-(

schoen picture schoen em 10 dez. 2018
🎉1
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

Mattia98 picture Mattia98  ·  3Comentários
bmw picture bmw  ·  3Comentários
eonwhite picture eonwhite  ·  3Comentários
redgluten picture redgluten  ·  4Comentários
GEEK-WALKER picture GEEK-WALKER  ·  3Comentários