Удалить домен из списка предварительной загрузки HPKP

Question

Удалить домен из списка предварительной загрузки HPKP

Итак, это забавная история, касающаяся закрепления открытого ключа HTTP (HPKP) и строгой защиты транспорта HTTP (HSTS).

Я играл с опциями предварительной загрузки HTST Always и HPKP, не зная полностью о последствиях.

Примерно в то же время я обнаружил, что моя "тестовая" учетная запись, которую я использовал для "проверки" того, как я могу полностью защитить пользователей, не была безопасной. Я удалял это, переделывал это, и однажды я забыл защитить это.

Это был обычный пользователь, почти без прав, я удалил пользователя, убив процессы, принадлежащие пользователю "test". Затем я rm -rfv /home/test/,

Тем не менее, я все еще не чувствовал сохранения, поэтому я переустановил свой сервер, думая, что могу обновить сертификат с помощью Let's Encrypt, добавить их снова, и все готово.

Увы, этого не должно было быть. Когда я просматриваю свой веб-сайт (*. Eurobytes.nl) с помощью chrome, я получаю следующее сообщение:

ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN

При просмотре одного из моих поддоменов, Mozilla Firefox, даже не отображает веб-сайт, он просто не идет туда.

Я предполагаю, что все это можно исправить, исключив себя из списка Mozilla Firefox/Google Chrome HTST и HPKP.

Как я могу исключить себя из HTST и HPKP?

2

linux nginx security lets-encrypt pinning

Источник

blade19899 02 мар '17 в 08:20

3 ответа

Другие вопросы по тегам linux nginx security lets-encrypt pinning

Jens Bradler 02 мар '17 в 20:25 2017-03-02 20:25 · Answer 1 · 2017-03-02 20:25

На самом деле вы не можете это изменить. Обычно у вас нет доступа к браузерам посетителей вашего сайта.

HSTS - HTTP Строгая Транспортная Безопасность

Я предполагаю, что вы установили HSTS только через заголовок, а не через список (зарегистрируйте домен, чтобы он был https только через предварительную загрузку HSTS). В этом случае все браузеры, которые посетили ваш сайт, сохранили ваш домен с предпочтением использования HTTP S для данного максимального возраста.

Если вы зарегистрировали свой домен как сайт только для HTTP S (включая все субдомены) через https://hstspreload.org/ то сначала вы должны удалить свой домен из этого списка (удаление не рекомендуется - требуется довольно много времени).

HPKP - закрепление открытого ключа HTTP

То же самое здесь: все посетители вашего веб-сайта сохранили разрешенные булавки для вашего домена в своих браузерах, и если вы установили новый сертификат SSL, не совпадающий с одним из булавок, браузер не откроет ваш сайт.

Я бы порекомендовал использовать другое доменное имя.

Barry Pollard 03 мар '17 в 22:43 2017-03-03 22:43 · Answer 2 · 2017-03-03 22:43

Хорошо, здесь происходит несколько вещей.

Прежде всего, HSTS говорит, что ваш сайт должен использовать HTTPS в любое время, которое вы указали ранее в кешировании браузера. Поскольку вы установили новый сертификат, вы все еще используете HTTPS, и это не проблема, а не то, о чем говорит сообщение об ошибке.

HSTS также может быть предварительно загружен (жестко запрограммирован) в код браузера. Но опять же, это не проблема, даже если вы сделали это, так как вы все еще используете HTTPS.

HPKP сообщает, что на вашем сайте могут использоваться только определенные сертификаты HTTPS. Так как у вас есть новый сертификат, которого нет в ранее определенном списке, вот где ваша проблема.

К счастью, браузеры не позволяют предварительно загружать HPKP, так как я думаю, что это ужасная идея.

Так как исправить?

Удалите его из браузера. В Chrome и Opera вы можете ввести chrome://net-internals/#hsts в вашем веб-браузере и найдите и удалите свой домен для HSTS и HPKP. Выполнение аналогичного для Firefox требует редактирования файла ( подробности см. Здесь). Очевидно, это работает только в том случае, если ваш сайт используют только несколько человек, и вы можете посетить их компьютеры и / или поговорить с ними через это.
Вы ждете, пока не истечет срок действия вашей политики HPKP. Надеюсь, у вас было короткое время истечения срока действия политики, так как вы просто тестировали это. Chrome ограничивает политики HPKP максимум на 60 дней (даже если вы указали более длинную политику).

Justin Fortier 15 ноя '21 в 21:34 2021-11-15 21:34 · Answer 3 · 2021-11-15 21:34

Хочу отметить для потомков — в 2021 году HPKP, скорее всего, можно будет смело отказаться от поддержки. Ни один современный браузер в настоящее время не поддерживает HPKP. Chrome отказался от него в 2017 году, а Firefox — в 2018 году. Таким образом, вам не нужно беспокоиться об удалении заголовков, и браузеры ваших клиентов по-прежнему смогут получить доступ к вашему сайту.

Полный список поддерживаемых браузеров: https://caniuse.com/?search=hpkp Если вас беспокоят встроенные древние браузеры.

Подробнее о том, почему это устарело, здесь для тех, кому интересно. https://scotthelme.co.uk/hpkp-is-no-more/