Кстати, не так давно для нормального функционирования этой технологии требовался всего лишь один ключ, сейчас же нужно указывать два или более ключей. На мой взгляд двух будет достаточно, от этого и будем отталкиваться. Второй ключ является «резервным», этот момент я не совсем понимаю, но не будем отступать от требований.<\/p>\n
Действовал я по следующей схеме:<\/p>\n
- \n
- — получаем сертификат на сайте Let’s Encrypt<\/a> для двух сайтов: example.com и www.example.com;<\/li>\n
- — так как я использую вариант без www, то ключ, полученный на базе первого будет основным, на базе второго — резервным;<\/li>\n
- — генерируем ключи для обоих сертификатов;<\/li>\n
- — добавляем нужные инструкции в файл \/etc\/httpd2\/conf\/sites-available\/default-http.conf<\/i>.<\/li>\n<\/ul>\n
О получении сертификата рассказывать не буду, достаточно почитать главную страницу сайта. Допустим, вы его получили и установили на свой сайт. Теперь требуется создать ключи при помощи следующей команды:<\/p>\n
openssl x509 -noout -in certificate.pem -pubkey | openssl rsa -pubin -outform der | \\<\/code><\/pre>openssl dgst -sha256 -binary | base64<\/code><\/pre>где certificate.pem<\/i> — полный путь к сертфикату.<\/p>\n
После выполнения команды вы получите нечто подобное:<\/p>\n
LPJNul+wow4m6DsqxbninhsWHlwfp0JecwQzYpOLmCQ=<\/i><\/b><\/p>\n
Это и есть нужный вам ключ. Повторяем команду для второго сертификата и добавляем данные в файл конфигурации сайта:<\/p>\n
Header set Public-Key-Pins "pin-sha256=\\"pin1\\"; pin-sha256=\\"pin2\\"; max-age=time"<\/code><\/pre>где:<\/p>\n
- \n
- pin1<\/i> — основной ключ для данного сайта. В моем случае example.com;<\/li>\n
- pin2<\/i> — резервный ключ для сайта. То есть www.example.com;<\/li>\n
- time<\/i> — время действия ключа в секундах.<\/li>\n<\/ul>\n
Опциональный параметр includeSubDomains<\/i> указывает на то, что ключи действительны также для поддоменов.\nЕще один необязательный параметр report-uri указывает на адрес, куда должны отправляться отчеты об ошибках в формате JSON. Его я, возможно, добавлю на сайт, но пока что считаю его ненужным для себя.<\/p>\n
Какие тут есть нюансы? Если вы неправильно настроите HPKP, ваш сайт станет недоступен. Можно также настроить отправку отчетов в случае каких-либо ошибок. Для этого немного меняем заголовок (или просто добавляем еще одной строкой):<\/p>\n
Header set Public-Key-Pins-Report-Only "pin-sha256=\\"pin1\\"; pin-sha256=\\"pin2\\"; max-age=time"<\/code><\/pre>", "date_published": "2016-08-16T22:24:24+07:00", "date_modified": "2016-10-01T13:22:18+07:00", "tags": [ "apache", "HPKP", "HTTP Public Key Pinning", "openssl", "pin-sha256б", "Public-Key-Pins", "внедрение", "домен", "защита", "сайт", "установка" ], "_date_published_rfc2822": "Tue, 16 Aug 2016 22:24:24 +0700", "_rss_guid_is_permalink": "false", "_rss_guid": "5", "_e2_data": { "is_favourite": false, "links_required": [ "highlight\/highlight.js", "highlight\/highlight.css" ], "og_images": [] } }, { "id": "4", "url": "https:\/\/www.kini24.ru\/all\/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt\/", "title": "Внедрение HTTP Strict Transport Security (HSTS) на свой сайт", "content_html": "Сначала небольшая выдержка из википедии<\/a>:<\/p>\n
\n
«HSTS (сокр. от англ. HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP. Механизм специфицирован в RFC6797 в ноябре 2012 года.<\/i><\/p>\n
HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и воровство кук.<\/i><\/p>\n
Дополнительную защиту https-соединений предоставляют методы Certificate pinning (хранение списка разрешенных для домена сертификатов или CA в исходных текстах браузера) и HTTP Public Key Pinning (англ.). Они предотвращают множество возможностей подмены tls-сертификатов https-сервера.»<\/i><\/p>\n<\/blockquote>\n
Для внедрения этой технологии нам понадобится несколько вещей:<\/p>\n
- \n
- Наличие валидного сертификата (можно бесплатно получить на сайте Let’s Encrypt<\/a>)<\/li>\n
- Уверенность в том, что будет использоваться только https протокол, включая все ваши субдомены.<\/li>\n
- Полное перенаправление с http-версий сайтов на https.<\/li>\n<\/ol>\n
Если что-то из этого по каким-то причинам вам не подходит, то эта технология вам не нужна.<\/p>\n
Так как у меня используется «старенький» Apache версии 2.2, то и настраивать, соответственно, мы будет его.\nДля включения HSTS нам нужно добавить в файл \/etc\/httpd2\/conf\/sites-available\/default_https.conf<\/i> следующие строки:<\/p>\n
<IfModule ssl_module>\n <VirtualHost *:443>\n Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"\n <\/VirtualHost>\n<\/IfModule><\/code><\/pre>Первые и последние две строки — стандартные для данного файла, если они имеются, то добавлять их не нужно. Нас больше всего интересует третья строчка.<\/p>\n
Инструкция Header set позволяет вставить заголовок в ответ сервера. В данном случае заголовок «Strict-Transport-Security». В скобках за ним расположены параметры этого заголовка:<\/p>\n
- \n
- max-age<\/i> — время в секундах, которое будет действовать этот заголовок. Если быть точнее, то это время, в течение которого сайт будет доступен по протоколу HTTPS. Не рекомендуется устанавливать его менее 18 недель;<\/li>\n<\/ul>\n
- \n
- includeSubDomains<\/i> — указывается, если действие заголовка распространяется также на поддомены. Не является обязательным;<\/li>\n<\/ul>\n
- \n
- preload<\/i> — параметр, позволяющий указывать, что ваш сайт никогда не будет доступен по незащищенному протоколу. Не является обязательным. Про него будет чуть ниже.<\/li>\n<\/ul>\n
Итак, данные мы добавили, теперь нужно перезагрузить файлы конфигурации:<\/p>\n
# service httpd2 condreload<\/code><\/pre>Наличие заголовка в ответе сервера можно проверить, например, на этом сайте<\/a>. Среди прочих вы должны увидеть такую строчку:<\/p>\n
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload<\/code><\/pre>Идем на сайт ssllabs<\/a>, вводим адрес своего сайта с указанием https и тестируем, что у нас получилось. Тест занимает некоторое время, его вполне хватит на то, чтобы, например, налить себе чашечку кофе.<\/p>\n
По итогу мы должны увидеть такие строчки:<\/p>\n
\n![\"Эту](\"https:\/\/www.kini24.ru\/pictures\/hsts-01.jpg\")
\nЭту строчку вы увидите в шапке отчета<\/div>\n<\/div>\n\n![\"Эта](\"https:\/\/www.kini24.ru\/pictures\/hsts-02.jpg\")
\nЭта будет находиться ближе к концу отчета<\/div>\n<\/div>\nЕсли вы их видите, значит все в порядке. В противном случае ищите ошибку.<\/p>\n
И, наконец, про параметр preload<\/i>. Существует так называемый «preload list», в котором перечислены все домены, использующие технологию HSTS. Своего рода список «избранных» :-) При желании вы можете подать заявку<\/a> на включение вашего домена в этот список, но на скорый ответ не рассчитывайте. Список обновляется с выпуском каждой версии браузера Chrome, поэтому может пройти несколько месяцев, прежде, чем вы увидите, что ваш домен добавлен в него. Для подачи заявки нужно выполнить несколько требований, указанных на главной странице сайта, поэтому рекомендую прочитать ее внимательно. Значение имеет даже регистр параметров заголовка. В случае критической ошибки после нажатия на кнопку «Check status and eligibility» фон страницы станет красным, в случае некритической — желтым, если же все верно — зеленым. На этой же странице указано, что нужно делать, чтобы удалить свой домен из этого списка.<\/p>\n
В принципе, это все, что вам нужно знать об этой технологии защиты вашего сайта. Надеюсь, что этот текст вам помог.<\/p>\n", "date_published": "2016-08-16T11:56:05+07:00", "date_modified": "2016-10-01T13:20:19+07:00", "tags": [ "apache", "Header", "hsts", "HTTP Strict Transport Security", "HTTPS", "includeSubDomains", "preload", "set", "Strict-Transport-Security", "внедрение", "домен", "защита", "использование", "настройка", "сайт", "установка" ], "image": "https:\/\/www.kini24.ru\/pictures\/hsts-01.jpg", "_date_published_rfc2822": "Tue, 16 Aug 2016 11:56:05 +0700", "_rss_guid_is_permalink": "false", "_rss_guid": "4", "_e2_data": { "is_favourite": false, "links_required": [ "highlight\/highlight.js", "highlight\/highlight.css" ], "og_images": [ "https:\/\/www.kini24.ru\/pictures\/hsts-01.jpg", "https:\/\/www.kini24.ru\/pictures\/hsts-02.jpg" ] } } ], "_e2_version": 4134, "_e2_ua_string": "Aegea 11.3 (v4134)" }
- preload<\/i> — параметр, позволяющий указывать, что ваш сайт никогда не будет доступен по незащищенному протоколу. Не является обязательным. Про него будет чуть ниже.<\/li>\n<\/ul>\n
- includeSubDomains<\/i> — указывается, если действие заголовка распространяется также на поддомены. Не является обязательным;<\/li>\n<\/ul>\n
- pin2<\/i> — резервный ключ для сайта. То есть www.example.com;<\/li>\n