From db0e9973dba1035502e132d8b32ff4c7896ae5e3 Mon Sep 17 00:00:00 2001
From: Alexander Wuerstlein <arw@arw.name>
Date: Mon, 26 Oct 2015 18:12:35 +0100
Subject: [PATCH] formatierung

---
 README.md | 8 +++++++-
 1 file changed, 7 insertions(+), 1 deletion(-)

diff --git a/README.md b/README.md
index a1be014..81b80d3 100644
--- a/README.md
+++ b/README.md
@@ -81,6 +81,8 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4
 
 ## HTTPS Public Key Pinning (HPKP)
 
+Apache-Config sollte irgendwie ungefaehr wie folgt aussehen:
+
 ```
 <VirtualHost _default_:443>
         Use SSLConfig
@@ -90,16 +92,20 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4
 	Header add Public-Key-Pins "pin-sha256=\"Kifsh84a1clurPq6mVDx+O8gbeSPA3zCGXalMAfto6k=\"; max-age=3600"
 ...
 ```
+
   - includeSubDomains kann man angeben (mit `;` getrennt nach `max-age`), ist aber meistens eine schlechte Idee, da es hierarchisch weiter unten stehende Webseiten kaputtmacht.
   - max-age sollte eigentlich laenger 3600s sein.
   - Man sollte mehrere Pins angeben um Reserve-Zertifikate zu haben. Diese erzeugt man wie folgt:
+
 ```
 openssl genrsa -out ${TARGET}.key.reserve-rsa4096 4096
 openssl rsa -in ${TARGET}.key.reserve-rsa4096 -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64
 ```
+
     Falls das eigentliche Zertifikat dann mal kompromittiert wird kann man den Reserve-Key um wie ganz oben beschrieben einen CSR zu erzeugen verwenden.
-    - Als Absicherung gegen diverse Versionen der kommenden Cryptocalypse kann
+  - Als Absicherung gegen diverse Versionen der kommenden Cryptocalypse kann
       man noch andere Typen dazuerzeugen:
+
 ```
 # langes RSA, leider atm noch zu lang fuer Apple-Produkte
 openssl genrsa -out ${TARGET}.key.reserve-rsa8192 8192
-- 
GitLab