Это запрос функции или фактически запрос комментариев.
Я хотел бы видеть флаги для автоматической настройки HTTP Strict Transport Security и HTTP Public Key Pinning для Apache и nginx в будущих версиях клиента _letsencrypt_.
Кроме того, я думаю, было бы целесообразно ввести возможность постоянного перенаправления пользователя с виртуального хоста HTTP на виртуальный хост HTTPS (в идеале с заголовком HSTS), чтобы гарантировать, что доступ к виртуальному хосту осуществляется через HTTPS.
Например, для этой цели можно использовать следующие флаги:
--use-hsts
— использовать HSTS на vHost
--hsts-age=n
— Установить возраст HSTS равным n
--hsts-include-subdomains
— применяется также к поддоменам
--use-hpkp
— использовать привязку открытого ключа HTTP
--hpkp-report-uri=URI
— Установить URI отчета HPKP
--hpkp-override-age=n
— переопределить возраст булавки
--hpkp-include-subdomains
— применить HPKP к поддоменам
Это на самом деле очень хорошая идея. +1.
У нас уже есть пул-реквест для --hsts, #1395. HPKP чрезвычайно опасен, и мы не собираемся добавлять для него какую-либо форму поддержки без предварительного тщательного тестирования, тестирования и практического опыта.
PR #1395 включает в себя очень грубый механизм размещения http-заголовка (например, он устанавливает постоянное максимальное время жизни), который будет объявлен устаревшим в пользу более универсального.
Итак, у Certbot теперь есть способ помочь вам настроить HSTS. Я считаю, что сейчас мы не будем продолжать работу по улучшению поддержки HPKP из-за решения Google отказаться от этой технологии. :-(
Самый полезный комментарий
У нас уже есть пул-реквест для --hsts, #1395. HPKP чрезвычайно опасен, и мы не собираемся добавлять для него какую-либо форму поддержки без предварительного тщательного тестирования, тестирования и практического опыта.