Commit 77fb3334 authored by arw's avatar arw
Browse files

text verstaendlicher

parent db0e9973
......@@ -85,8 +85,7 @@ Apache-Config sollte irgendwie ungefaehr wie folgt aussehen:
```
<VirtualHost _default_:443>
Use SSLConfig
Header set Cache-Control "no-store, must-revalidate"
Use SSLConfig
# DANGER: remember to add a new certificate in time with a second pin-sha256 statement:
# for testing: only valid for 1h
Header add Public-Key-Pins "pin-sha256=\"Kifsh84a1clurPq6mVDx+O8gbeSPA3zCGXalMAfto6k=\"; max-age=3600"
......@@ -94,15 +93,17 @@ Apache-Config sollte irgendwie ungefaehr wie folgt aussehen:
```
- includeSubDomains kann man angeben (mit `;` getrennt nach `max-age`), ist aber meistens eine schlechte Idee, da es hierarchisch weiter unten stehende Webseiten kaputtmacht.
- max-age sollte eigentlich laenger 3600s sein.
- Man sollte mehrere Pins angeben um Reserve-Zertifikate zu haben. Diese erzeugt man wie folgt:
- max-age sollte eigentlich laenger 3600s sein. Aber, wenn mal ein Schluessel
kompromittiert wurde, koennte ein zu langes max-age Benutzer aussperren.
Man sollte daher mehrere Pins angeben und Reserve-Schluessel zu haben. Diese
erzeugt man wie folgt:
```
openssl genrsa -out ${TARGET}.key.reserve-rsa4096 4096
openssl rsa -in ${TARGET}.key.reserve-rsa4096 -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64
```
Falls das eigentliche Zertifikat dann mal kompromittiert wird kann man den Reserve-Key um wie ganz oben beschrieben einen CSR zu erzeugen verwenden.
Falls das eigentliche Zertifikat dann mal kompromittiert wird kann man den Reserve-Schluessel um wie ganz oben beschrieben einen CSR zu erzeugen verwenden.
- Als Absicherung gegen diverse Versionen der kommenden Cryptocalypse kann
man noch andere Typen dazuerzeugen:
......
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment