Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:let_s_encrypt_-_hpkp [2018/10/12 12:14] – klaus
+++ tachtler:let_s_encrypt_-_hpkp [2021/03/06 11:00] (aktuell) – [/etc/httpd/conf/httpd.conf] klaus
@@ Zeile 10: / Zeile 10: @@
 ^ Beschreibung  ^ Link                                                                                     ^
 | Scott Helme   | [[https://scotthelme.co.uk/hpkp-http-public-key-pinning/|HPKP: HTTP Public Key Pinning]] |
-| Let's Encrypt | [[https://letsencrypt.org/certificates/|Chain of Trust]]                                 |
+| Let's Encrypt | [[https://letsencrypt.org/certificates/|Chain of Trust]] |
-| Report URI    | [[https://report-uri.com/home/pkp_hash|Create your HPKP hash]]                           |
+| Mozilla       | [[https://developer.mozilla.org/de/docs/Web/Security/Public_Key_Pinning| MDN web docs - Public Key Pinning]] |
-| re{raise}ace  | [[https://reraise.eu/2016/06/30/let-s-encrypt-hpkp-in-der-praxis-einsetzen-best-practice|Let's Encrypt & Public Key Pinning in der Praxis einsetzen]] |
 ===== Vorbereitung =====
@@ Zeile 417: / Zeile 416: @@
 <code>
+# openssl x509 -pubkey < /opt/dehydrated-master/certs/tachtler.net/tachtler.net.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
+reoYu6y4qPE3Blm9PMCjogm8J7/vgpQsOt51hiLKCl8=
 </code>
@@ Zeile 422: / Zeile 423: @@
 <code>
+# openssl x509 -pubkey < /opt/dehydrated-master/certs/tachtler.net/Let_s_Encrypt_Authority_X3.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
+YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=
 </code>
@@ Zeile 427: / Zeile 430: @@
 <code>
+# openssl x509 -pubkey < /opt/dehydrated-master/certs/tachtler.net/Let_s_Encrypt_Authority_X4.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
+sRHdihwgkaib1P1gxX8HFszlD+7/gTfNvuAybgLPNis=
 </code>
@@ Zeile 432: / Zeile 437: @@
 <code>
+# openssl x509 -pubkey < /opt/dehydrated-master/certs/tachtler.net/DST_Root_CA_X3.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
+Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=
 </code>
+===== Apache Konfiguration =====
+Nachfolgender eine kurze Einführung in den Aufbau eines **HPKP**-Eintrags:
+^ Parameter                             ^ Erläuterung                                  |
+| ''Header always set Public-Key-Pins'' | Apache-Webserver Header Direktive |
+| ''pin-sha256''                        | Der Parameter beinhaltet einen ''base64'' kodierten "Subject Public Key Information" (SPKI) Fingerprint. Es ist auch möglich mehrere Pins zu verschiedenen öffentlichen Schlüsseln zu definieren. Einige Browser werden hier zukünftig neben SHA-256 evtl. weitere Hash-Algorithmen erlauben. |
+| ''max-age''                           | Die Zeit in Sekunden, die ein Browser sich merken soll, dass auf diese Seite nur bei Benutzung eines der öffentlichen Schlüssel zugegriffen werden darf. |
+| ''includeSubdomains''                 | **Optional** - Wenn dieser optionale Parameter angegeben wird, wird die Regel auch auf alle Subdomains der Seite angewandt. |
+| ''report-uri''                        | **Optional** - Wenn dieser optionale Parameter angegeben wird, werden Pinvalidierungsfehlschläge an die angegebene URL gemeldet. |
+==== /etc/httpd/conf/httpd.conf ====
+Nachfolgend kann durch die ermittelten **FINGERPRINTs** nun der **HPKP**-Eintrag für die Konfiguration wie folgt erstellt werden:
+<code apache>
+<IfModule headers_module>
+        Header set Public-Key-Pins "pin-sha256=\"reoYu6y4qPE3Blm9PMCjogm8J7/vgpQsOt51hiLKCl8=\"; pin-sha256=\"YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=\"; pin-sha256=\"sRHdihwgkaib1P1gxX8HFszlD+7/gTfNvuAybgLPNis=\"; pin-sha256=\"Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=\"; max-age=90; includeSubdomains;"
+</IfModule>
+</code>
+Nachfolgende Seite welche unter dem externen Link
+  * [[https://gf.dev/hpkp-test|GEEKFLARE - HPKP (HTTP Public Key Pinning) Test]]
+kann dazu verwendet werden, um die erfolgreiche Implementierung von **HPKP** zu validieren.