Skip to content
Snippets Groups Projects
Commit db0e9973 authored by arw's avatar arw
Browse files

formatierung

parent 9311936f
Branches
Tags
No related merge requests found
Show whitespace changes
Inline Side-by-side
Showing
with 7 additions and 1 deletion
README.md
+ 7
1
View file @ db0e9973
...@@ -81,6 +81,8 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4 ...@@ -81,6 +81,8 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4
## HTTPS Public Key Pinning (HPKP) ## HTTPS Public Key Pinning (HPKP)
Apache-Config sollte irgendwie ungefaehr wie folgt aussehen:
``` ```
<VirtualHost _default_:443> <VirtualHost _default_:443>
Use SSLConfig Use SSLConfig
...@@ -90,16 +92,20 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4 ...@@ -90,16 +92,20 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4
Header add Public-Key-Pins "pin-sha256=\"Kifsh84a1clurPq6mVDx+O8gbeSPA3zCGXalMAfto6k=\"; max-age=3600" Header add Public-Key-Pins "pin-sha256=\"Kifsh84a1clurPq6mVDx+O8gbeSPA3zCGXalMAfto6k=\"; max-age=3600"
... ...
``` ```
- includeSubDomains kann man angeben (mit `;` getrennt nach `max-age`), ist aber meistens eine schlechte Idee, da es hierarchisch weiter unten stehende Webseiten kaputtmacht. - includeSubDomains kann man angeben (mit `;` getrennt nach `max-age`), ist aber meistens eine schlechte Idee, da es hierarchisch weiter unten stehende Webseiten kaputtmacht.
- max-age sollte eigentlich laenger 3600s sein. - max-age sollte eigentlich laenger 3600s sein.
- Man sollte mehrere Pins angeben um Reserve-Zertifikate zu haben. Diese erzeugt man wie folgt: - Man sollte mehrere Pins angeben um Reserve-Zertifikate zu haben. Diese erzeugt man wie folgt:
``` ```
openssl genrsa -out ${TARGET}.key.reserve-rsa4096 4096 openssl genrsa -out ${TARGET}.key.reserve-rsa4096 4096
openssl rsa -in ${TARGET}.key.reserve-rsa4096 -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64 openssl rsa -in ${TARGET}.key.reserve-rsa4096 -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64
``` ```
Falls das eigentliche Zertifikat dann mal kompromittiert wird kann man den Reserve-Key um wie ganz oben beschrieben einen CSR zu erzeugen verwenden. Falls das eigentliche Zertifikat dann mal kompromittiert wird kann man den Reserve-Key um wie ganz oben beschrieben einen CSR zu erzeugen verwenden.
- Als Absicherung gegen diverse Versionen der kommenden Cryptocalypse kann - Als Absicherung gegen diverse Versionen der kommenden Cryptocalypse kann
man noch andere Typen dazuerzeugen: man noch andere Typen dazuerzeugen:
``` ```
# langes RSA, leider atm noch zu lang fuer Apple-Produkte # langes RSA, leider atm noch zu lang fuer Apple-Produkte
openssl genrsa -out ${TARGET}.key.reserve-rsa8192 8192 openssl genrsa -out ${TARGET}.key.reserve-rsa8192 8192
......
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Please register or to comment