Certbot: Добавлена опция автоматической настройки H̶S̶T̶S̶ ̶&̶ HPKP

Созданный на 24 нояб. 2015 · 4Комментарии · Источник: certbot/certbot

Это запрос функции или фактически запрос комментариев.

Я хотел бы видеть флаги для автоматической настройки HTTP Strict Transport Security и HTTP Public Key Pinning для Apache и nginx в будущих версиях клиента _letsencrypt_.

Кроме того, я думаю, было бы целесообразно ввести возможность постоянного перенаправления пользователя с виртуального хоста HTTP на виртуальный хост HTTPS (в идеале с заголовком HSTS), чтобы гарантировать, что доступ к виртуальному хосту осуществляется через HTTPS.

Например, для этой цели можно использовать следующие флаги:

--use-hsts — использовать HSTS на vHost
--hsts-age=n — Установить возраст HSTS равным n
--hsts-include-subdomains — применяется также к поддоменам

--use-hpkp — использовать привязку открытого ключа HTTP
--hpkp-report-uri=URI — Установить URI отчета HPKP
--hpkp-override-age=n — переопределить возраст булавки
--hpkp-include-subdomains — применить HPKP к поддоменам

security enhancements

Источник

DatanoiseTV

👍2

Самый полезный комментарий

У нас уже есть пул-реквест для --hsts, #1395. HPKP чрезвычайно опасен, и мы не собираемся добавлять для него какую-либо форму поддержки без предварительного тщательного тестирования, тестирования и практического опыта.

pde 24 нояб. 2015

👍2

Все 4 Комментарий

Это на самом деле очень хорошая идея. +1.

TheNavigat 24 нояб. 2015

pde 24 нояб. 2015

👍2

PR #1395 включает в себя очень грубый механизм размещения http-заголовка (например, он устанавливает постоянное максимальное время жизни), который будет объявлен устаревшим в пользу более универсального.

sagi 25 нояб. 2015

Итак, у Certbot теперь есть способ помочь вам настроить HSTS. Я считаю, что сейчас мы не будем продолжать работу по улучшению поддержки HPKP из-за решения Google отказаться от этой технологии. :-(