Devo attivare HSTS con Let's Encrypt Certificates?

Naviga le tue risposte
21

Recentemente ho installato un server web che, tra gli altri, serve ownCloud ad alcuni dei miei utenti. Ho ottenuto il certificato Let's Encrypt SSL perché non volevo utilizzare un certificato autofirmato come quello utilizzato da ownCloud. Ho configurato Apache per riscrivere correttamente tutto il traffico HTTP su HTTPS.

Ora ownCloud mi mostra costantemente un messaggio, chiedendomi di applicare HSTS (HTTP Strict Transport Security). Dato che Let's Encrypt Certificates è valido solo per 90 giorni e che il mio reindirizzamento HTTP funziona già, dovrei davvero applicare HSTS?

    
posta architekt 09.12.2016 - 07:51
fonte

3 risposte

45

Sì, dovresti attivare HSTS .

HTTPS senza HSTS è significativamente più debole poiché rende gli utenti vulnerabili agli attacchi di downgrade . L'invio di un'intestazione HSTS garantisce che gli utenti si colleghino direttamente al tuo sito web tramite SSL dopo la loro prima visita (trust-on-first-use) e fino al raggiungimento del timeout specificato.

La scelta se attivare o meno HSTS non dipende realmente dalla CA che stai utilizzando, piuttosto che se sei sicuro di continuare a supportare HTTPS in futuro. Cioè, non appena disattivi HTTPS, qualsiasi utente il cui timeout HSTS non è ancora scaduto non sarà in grado di connettersi al tuo sito. Se non sei sicuro di quanto a lungo manterrai il supporto SSL, potresti iniziare con brevi tempi di scadenza dell'HSTS per evitare di bloccare i visitatori troppo a lungo.

Non confondere HSTS con HPKP : A L'intestazione della chiave pubblica HTTP indica al browser di associare una chiave pubblica specifica al tuo sito. Qui, il blocco dei certificati errati o scaduti può rendere il tuo sito non disponibile agli utenti precedenti. Ma per HSTS, la particolare catena di certificati non ha importanza e puoi cambiarla se necessario.

    
risposta data 09.12.2016 - 08:06
fonte
4

Puoi utilizzare HSTS finché continuerai a utilizzare HTTPS sul tuo sito. Il certificato specifico può cambiare, ma è accettabile per HSTS.

Se utilizzi il blocco della chiave HTTP, puoi richiedere che la chiave SSL provenga da una CA specifica, in questo caso Let's Encrypt, che potrebbe causare problemi se hai modificato CA, ma il certificato stesso potrebbe cambiare.

Se hai implementato un metodo di pinning personalizzato, che ha esaminato il certificato specifico utilizzato, avresti problemi. Non è così che funzionano le intestazioni standard.

In breve, dovrebbe andare bene con il certificato che cambia regolarmente - questo è il comportamento previsto.

    
risposta data 09.12.2016 - 08:23
fonte
0

Due articoli - Assicurati di comunicare tramite HTTPS o HTTP prima di qualsiasi autenticazione. La nota sugli attacchi downgrade non può essere deve essere presa sul serio. - A seconda del tuo stack tecnologico, potresti dover rivedere più del codice; potrebbe essere necessario verificare anche i protocolli di crittografia di rete.

C'è una bella recensione della gente di Qualsys

    
risposta data 15.12.2016 - 22:04
fonte

Leggi altre domande sui tag

Un provider VPN può mitMare il mio traffico SSL senza che me ne accorga? Perché alcuni software popolari utilizzano ancora md5?