HSTS und Public Key Pinning

bitte kein HPKP - aber HSTS, bitte, ja!

Am einfachsten ist es wirklich für HSTS den gewünschten Header per .htaccess senden zu lassen.
Besteht denn Bedarf, das auch über GUI einzurichten?

Das Problem ist: wenn jemand HSTS irrtümlicherweise aktiviert (oder zu "Testzwecken"), dabei aber eine lange Gültigkeit eingestellt hat (empfohlen wird ja ~1 Jahr), ist die Domain anschließend möglicherweise "unbrauchbar" falls HTTPS doch nicht klappt. Mit anderen Worten: man sollte wissen, was man tut, wenn man HSTS aktiviert. Und wer das weiß, der ist i.d.R. auch in der Lage, eine .htaccess-Datei zu erstellen.

HPKP ist vermutlich eh tot - spannender ist da DANE/TLSA (zusammen mit DNSSEC). Hier ist ein Hauptproblem aber der Roll-Over, wenn sich mal der Schlüssel des Zertifikats ändert. Auch da gilt: wer weiß was er tut, kann das per "eigene DNS-Einträge" schon heute im LiveConfig anlegen (die Hashes dazu berechnet unser SSL-Check).

Zitat von kk

spannender ist da DANE/TLSA (zusammen mit DNSSEC). Hier ist ein Hauptproblem aber der Roll-Over, wenn sich mal der Schlüssel des Zertifikats ändert.

Warum nicht mit den CA-Constraints arbeiten? Da ändert sich der Schlüssel deutlich seltener.

Zitat von kk

Am einfachsten ist es wirklich für HSTS den gewünschten Header per .htaccess senden zu lassen.
Besteht denn Bedarf, das auch über GUI einzurichten?

Ja, es gab schon mehrfach Nachfragen (Kunden sind nun mal bequem). Andere Hoster bieten das so schon lange per GUI an!

Zitat von lebenszeit

Gerne auf die Wunschliste, aber ans Ende

+1

*10 Zeichen*

Zitat von kroerig

Beim PKP muss der Key auch zum genetierten Zertifikat passen.

Ich glaube, PKP hat sich erledigt:

https://www.bleepingcomputer.c…ng-pkp-support-in-chrome/

Zitat von kk

Am einfachsten ist es wirklich für HSTS den gewünschten Header per .htaccess senden zu lassen.
Besteht denn Bedarf, das auch über GUI einzurichten?

Ja, das wäre super.

Mir reicht auch eine einfache Lösung, d.h. eine Checkbox zum Aktivieren.
(Den Defaultwert einfach in die LCDEFAULTS speichern, z.B. 12 Monate oder so.)

Alle Kunden, die etwas Spezielleres benötigen, können sich ja dies immer noch per .htaccess konfigurieren.
Aber ich denke, dass 99% der Kunden die Let'sEncrypt benutzen gerne auch einfach per Häkchen HSTS aktivieren möchten.

Zitat von pitgrap

Ja, das wäre super.

Mir reicht auch eine einfache Lösung, d.h. eine Checkbox zum Aktivieren.
(Den Defaultwert einfach in die LCDEFAULTS speichern, z.B. 12 Monate oder so.)

Alle Kunden, die etwas Spezielleres benötigen, können sich ja dies immer noch per .htaccess konfigurieren.
Aber ich denke, dass 99% der Kunden die Let'sEncrypt benutzen gerne auch einfach per Häkchen HSTS aktivieren möchten.

So ist es, bitte die Funktion umsetzen. "Bei jedem 0815-Massenhoster kann man dies im Backend einstellen" - so argumentieren einige unserer Kunden und nicht jeder kennt sich mit .htaccess usw. aus.

Zitat von weltmeister

Bei jedem 0815-Massenhoster

DAS bezweifle ich.
Kunden behaupten gerne Dinge, um ihre Wünsche umgesetzt zu bekommen.

Zitat von pitgrap

Aber ich denke, dass 99% der Kunden die Let'sEncrypt benutzen gerne auch einfach per Häkchen HSTS aktivieren möchten.

Dieser Einschätzung muss ich widersprechen.

Zitat

"Bei jedem 0815-Massenhoster kann man dies im Backend einstellen" - so argumentieren einige unserer Kunden und nicht jeder kennt sich mit .htaccess usw. aus.

Auch das sehe ich anders. Wer sich nicht mal mit .htaccess auskennt, der sollte besser auch kein HSTS aktivieren. Sie glauben gar nicht, wie viele Probleme das bei unbedarften Benutzern verursacht.
Einfachstes Beispiel: WordPress "mal schnell" auf HTTPS umstellen und HSTS aktivieren. Das geht in 90% der Fälle grandios in die Hose (ach ja, man muss ja dann im WP-Backend noch die Basis-URL auf HTTPS ändern - das geht aber nicht, weil man sich nicht mal mehr anmelden kann, weil WP die internen URLs bis dahin alle noch mit HTTP erzeugt, was der Browser dann aber aus Sicherheitsgründen nicht mehr öffnen mag... ganz zu schweigen davon, dass bereits erzeugte (interne) Links im WordPress alle noch "hartcodiert" auf http:// stehen, was sich oft nur über mysqldump, suchen/ersetzen und MySQL-Import lösen lässt...)

Fazit: HSTS steht auf der Wunschliste (für Profi-Anwender), hat aber nicht die höchste Priorität.

Zitat von weltmeister

"Bei jedem 0815-Massenhoster kann man dies im Backend einstellen"

- Strato: htaccess (https://www.strato.de/faq/arti…rity-HSTS-aktivieren.html)
- 1&1: htaccess (https://hosting.1und1.de/digit…etzen-sie-ihr-webprojekt/)
- Cyon: htaccess (https://www.cyon.ch/support/a/…ty-hsts-fur-meine-website)
- HostEurope: htaccess (https://www.hosteurope.de/faq/…kat-einbinden-webhosting/)
- All-Inkl: im KAS (https://all-inkl.com/wichtig/a…vierung-von-hsts_499.html)

"0815-Massenhoster" schließt bei mir nicht nur All-Inkl ein.

.htaccess ist der richtige Ort, das ist Sache des Webmasters. LC hat andere Aufgaben.

Zitat von lebenszeit

.htaccess ist der richtige Ort, das ist Sache des Webmasters. LC hat andere Aufgaben.

+1

10 Zeichen Dingens