Remover domínio da lista de pré-carregamento do HPKP

Navegue suas respostas
2

Esta é uma história divertida sobre HPKP (HTTP Public Key Pinning) e HSTS (HTTP Strict Transport Security).

Eu estava jogando com as opções de pré-carregamento HTST Always e HPKP, não estando totalmente ciente das conseqüências.

Mais ou menos na mesma época, descobri que minha conta de "teste" que eu costumava "testar" sobre como posso proteger totalmente os usuários não era segura. Eu estava apagando, refazendo, e uma vez eu esqueci de protegê-lo.

Era um usuário normal, com pouco ou nenhum direito, eu apaguei o usuário, matando os processos pertencentes ao usuário "teste". Então eu rm -rfv /home/test/ .

No entanto, ainda não senti salvar, por isso reinstalei meu servidor, pensando que poderia renovar o certificado com o Let's Encrypt, adicioná-lo novamente e pronto.

Ai, isso não foi feito para ser. Quando eu navego no meu site (*. Eurobytes.nl), com o chrome, recebo a seguinte mensagem:

ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN

Quando navega em um dos meus subdomínios, o Mozilla Firefox, nem exibe o site, ele simplesmente não vai lá.

Estou assumindo que tudo isso pode ser corrigido, excluindo-me da lista HTST e HPKP do Mozilla Firefox / Google Chrome.

Como posso sair do HTST e do HPKP?

    
por blade19899 02.03.2017 / 09:20

2 respostas

2

Na verdade, não há como mudar isso. Normalmente você não tem acesso aos navegadores dos visitantes do seu site.

HSTS - Segurança de transporte restrita HTTP

Eu suponho que você tenha configurado somente o HSTS via cabeçalho e não via lista (registre um domínio para ser https somente via pré-carregamento de HSTS). Se esse for o caso, todos os navegadores que visitaram seu site armazenaram seu domínio com a preferência de usar HTTPS para a idade máxima indicada.

Se você registrou seu domínio como um site somente HTTPS (isso inclui todos os subdomínios) por meio do link do que você precisa remover seu domínio de esta lista primeiro (removendo não recomendado - precisa de um tempo bastante longo).

HPKP - Fixação de chave pública HTTP

O mesmo aqui: Todos os visitantes do seu site armazenaram os pinos permitidos para o seu domínio em seus navegadores e, se você configurar um novo certificado SSL que não corresponda a um dos pinos, o navegador não abrirá o site.

Eu recomendaria usar um nome de domínio diferente.

    
por 02.03.2017 / 21:25
1

Ok, há algumas coisas acontecendo aqui.

Antes de mais nada, a HSTS diz que seu site tem que usar HTTPS pelo tempo que você especificou anteriormente que o navegador armazenou em cache. Como você instalou um novo certificado, ainda está usando HTTPS e isso não é um problema, e não é o que a mensagem de erro está dizendo.

O HSTS também pode ser pré-carregado (codificado) no código do navegador. Mas, novamente, isso não é um problema aqui, mesmo que você tenha feito isso, já que você ainda está usando HTTPS.

O HPKP diz que apenas determinados certificados HTTPS podem ser usados em seu site. Como você tem um novo certificado que não estava na lista previamente definida, é aí que está o seu problema.

Felizmente, os navegadores não permitem que você pré-carregue o HPKP, pois acho que é uma ideia terrível.

Então, como consertar?

  1. Exclua-o do navegador. No Chrome e no Opera, você pode digitar chrome://net-internals/#hsts em seu navegador da Web e pesquisar e excluir seu domínio para HSTS e HPKP. Fazer semelhante para o Firefox requer a edição de um arquivo (veja aqui para detalhes ). Obviamente, isso só funciona se o site for usado apenas por algumas pessoas e você puder visitar seus PCs e / ou conversar com eles.

  2. Você aguarda até que o tempo de expiração de sua política de HPKP seja encerrado. Espero que você tenha um tempo de expiração de política curto como apenas testando isso. O Google Chrome bloqueia as políticas do HPKP no prazo máximo de 60 dias (mesmo que você tenha especificado uma política mais longa).

por 03.03.2017 / 23:43

Tags

Cartão USB 3.0 para HP Proliant DL360 G7 e G8 O Zabbix não executa o alerta personalizado