Удалить домен из списка предварительной загрузки HPKP

Question

Удалить домен из списка предварительной загрузки HPKP

Итак, это забавная история о закреплении открытого ключа HTTP (HPKP) и строгой безопасности транспорта HTTP (HSTS).

Я играл с параметрами предварительной загрузки HTST Always и HPKP, не осознавая последствий.

Примерно в то же время я обнаружил, что моя «тестовая» учетная запись, которую я использовал для «проверки» того, как я могу полностью безопасные пользователи, не были безопасными. Я удалял его, переделывал и однажды забыл защитить его.

Это был обычный пользователь, практически без прав, я удалил пользователя, убив процессы, принадлежащие пользователю «test». Затем я rm -rfv /home/test/[1192086 visible.[1264 sizes) Однако я все еще не чувствовал себя спасенным, поэтому я переустановил свой сервер, думая, что могу обновить сертификат с помощью Let's Encrypt, добавить их снова и мы закончили.



 Увы, этого не должно было быть. Когда я просматриваю свой веб-сайт (*. Eurobytes.nl) в Chrome, я получаю следующее сообщение: 


  ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN 


 При просмотре одного из моих поддоменов, Mozilla Firefox, он даже не отображает веб-сайт, он просто не идет туда. 

 Я предполагаю, что все это можно исправить, исключив себя из Mozilla Firefox / Google Chrome HTST и HPKP list. 

 Как я могу удалить себя из HTST и HPKP?


         
            2

         
         
            linux nginx security lets-encrypt pinning         
         
         
            задан blade19899
            2 March 2017 в 10:48 
         
         
         Ссылка


    3 ответа


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                      Хорошо, здесь происходит несколько вещей. 

 Прежде всего HSTS сообщает, что ваш сайт должен использовать HTTPS в течение того времени, которое вы указали ранее, когда браузер кэширует.  Поскольку вы установили новый сертификат, вы по-прежнему используете HTTPS, и это не проблема, и не то, о чем сообщает сообщение об ошибке. 

 HSTS также можно предварительно загрузить (жестко запрограммировать) в код браузеров.  Но опять же, это не проблема, даже если вы это сделали, поскольку вы все еще используете HTTPS. 

 HPKP сообщает, что на вашем сайте можно использовать только определенные сертификаты HTTPS.  Поскольку у вас есть новый сертификат, которого не было в ранее определенном списке, в этом и заключается ваша проблема. 

 К счастью, браузеры не позволяют предварительно загружать HPKP, поскольку я думаю, что это ужасная идея. 

 Итак, как это сделать.  исправить? 


 Удалить его из браузера.  В Chrome и Opera вы можете ввести  chrome: // net-internals / # hsts  в своем веб-браузере, а также найти и удалить свой домен как для HSTS, так и для HPKP.  Чтобы сделать то же самое для Firefox, необходимо отредактировать файл (подробнее см.  здесь ).  Очевидно, это работает только в том случае, если ваш сайт используется только несколькими людьми, и вы можете посещать их ПК и / или разговаривать с ними через это. 
 Вы ждете, пока истечет срок действия вашей политики HPKP.  Надеюсь, у вас был короткий срок действия политики, поскольку вы просто тестировали это.  Chrome ограничивает политики HPKP максимум на 60 дней (даже если вы указали более длительную политику). 
                  
                  1

                  
                  
                     ответ дан 
                     3 December 2019 в 10:35 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
         
            
               
                  

                    

                  
              
           

   
         
            
               
                  
                      На самом деле изменить это невозможно.  Обычно у вас нет доступа к браузерам посетителей вашего веб-сайта. 

 HSTS - HTTP Strict Transport Security 

 Я предполагаю, что вы установили HSTS только через заголовок, а не через список (зарегистрируйте домен только https  через предварительную загрузку HSTS).  В этом случае все браузеры, посещавшие ваш сайт, сохранили ваш домен с предпочтением использования HTTPS для данного максимального возраста.  

 Если вы зарегистрировали свой домен как сайт, работающий только по протоколу HTTPS (включая все поддомены) через  https://hstspreload.org/ , то сначала вам необходимо удалить свой домен из этого списка (удаление не  рекомендуется - требуется довольно много времени). 

 HPKP - закрепление открытого ключа HTTP 

 То же самое здесь: все посетители вашего веб-сайта сохранили разрешенные контакты для вашего домена в своих браузерах, и если вы установили новый сертификат SSL, не соответствующий  один из контактов, браузер не открывает ваш сайт. 

 Я бы рекомендовал использовать другое доменное имя. 
                  
                  2

                  
                  
                     ответ дан 
                     3 December 2019 в 10:35 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
            
         
            
               
                  
                     Я хотел отметить для потомков — в 2021 году вы, вероятно, можете безопасно отказаться от HPKP. Ни один из современных браузеров в настоящее время не поддерживает HPKP. Chrome отказался от него в 2017 году, и я считаю, что Firefox — это 2018 год. Таким образом, можно не беспокоиться об удалении заголовков, и браузеры ваших клиентов по-прежнему могут получить доступ к вашему сайту.
 Полный список поддерживаемых браузеров:https://caniuse.com/?search=hpkp
Если вас беспокоит запекание-в старых браузерах.
 Подробнее о том, почему это устарело, здесь для тех, кто заинтересован.https://scotthelme.co.uk/hpkp-is-no-more/
                  
                  0

                  
                  
                     ответ дан Justin Fortier
                     15 November 2021 в 20:34 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         linux nginx security lets-encrypt pinning       

        Похожие вопросы
        
          
                          2314 
 Наш аудитор безопасности является идиотом. Как я даю ему информацию, которую он хочет? - 12 July 2017 05:50 
                            993 
 Как я могу отсортировать du-h произведенный размером - 29 October 2016 04:01 
                            602 
 Как я имею дело с поставленным под угрозу сервером? - 13 April 2017 15:14 
                            586 
 scp может скопировать каталоги рекурсивно? - 10 July 2018 18:19 
                            533 
  Как перенаправить весь http-трафик на https [duplicate]  - 21 September 2009 17:04 
                            511 
 В Nginx, как я могу переписать все запросы HTTP к https при поддержании субдомена? - 21 September 2009 17:04 
                            435 
 Каково различие между двойными и единственными квадратными скобками в ударе? - 10 August 2009 00:11 
                            423 
 Что точно делает цвета в htop средних строках состояния? - 8 September 2014 22:03 
                            364 
 Кто-либо еще испытывающий высокие показатели сервера Linux разрушает во время прыжка второй день? - 4 July 2012 00:09 
                            359 
 Как Вы ищете бэкдоры от предыдущего человека IT? - 26 May 2011 19:02 
                            316 
 Как выполнить сервер на порте 80 как обычный пользователь на Linux? - 14 August 2019 17:35 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            261 
 Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14 
                            261 
 Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37

score 1 · Answer 1 · 3 December 2019 в 10:35

Хорошо, здесь происходит несколько вещей.

Прежде всего HSTS сообщает, что ваш сайт должен использовать HTTPS в течение того времени, которое вы указали ранее, когда браузер кэширует. Поскольку вы установили новый сертификат, вы по-прежнему используете HTTPS, и это не проблема, и не то, о чем сообщает сообщение об ошибке.

HSTS также можно предварительно загрузить (жестко запрограммировать) в код браузеров. Но опять же, это не проблема, даже если вы это сделали, поскольку вы все еще используете HTTPS.

HPKP сообщает, что на вашем сайте можно использовать только определенные сертификаты HTTPS. Поскольку у вас есть новый сертификат, которого не было в ранее определенном списке, в этом и заключается ваша проблема.

К счастью, браузеры не позволяют предварительно загружать HPKP, поскольку я думаю, что это ужасная идея.

Итак, как это сделать. исправить?

Удалить его из браузера. В Chrome и Opera вы можете ввести chrome: // net-internals / # hsts в своем веб-браузере, а также найти и удалить свой домен как для HSTS, так и для HPKP. Чтобы сделать то же самое для Firefox, необходимо отредактировать файл (подробнее см. здесь ). Очевидно, это работает только в том случае, если ваш сайт используется только несколькими людьми, и вы можете посещать их ПК и / или разговаривать с ними через это.
Вы ждете, пока истечет срок действия вашей политики HPKP. Надеюсь, у вас был короткий срок действия политики, поскольку вы просто тестировали это. Chrome ограничивает политики HPKP максимум на 60 дней (даже если вы указали более длительную политику).

score 2 · Answer 2 · 3 December 2019 в 10:35

На самом деле изменить это невозможно. Обычно у вас нет доступа к браузерам посетителей вашего веб-сайта.

HSTS - HTTP Strict Transport Security

Я предполагаю, что вы установили HSTS только через заголовок, а не через список (зарегистрируйте домен только https через предварительную загрузку HSTS). В этом случае все браузеры, посещавшие ваш сайт, сохранили ваш домен с предпочтением использования HTTPS для данного максимального возраста.

Если вы зарегистрировали свой домен как сайт, работающий только по протоколу HTTPS (включая все поддомены) через https://hstspreload.org/ , то сначала вам необходимо удалить свой домен из этого списка (удаление не рекомендуется - требуется довольно много времени).

HPKP - закрепление открытого ключа HTTP

То же самое здесь: все посетители вашего веб-сайта сохранили разрешенные контакты для вашего домена в своих браузерах, и если вы установили новый сертификат SSL, не соответствующий один из контактов, браузер не открывает ваш сайт.

Я бы рекомендовал использовать другое доменное имя.

Justin Fortier · Answer 3 · 15 November 2021 в 20:34

Я хотел отметить для потомков — в 2021 году вы, вероятно, можете безопасно отказаться от HPKP. Ни один из современных браузеров в настоящее время не поддерживает HPKP. Chrome отказался от него в 2017 году, и я считаю, что Firefox — это 2018 год. Таким образом, можно не беспокоиться об удалении заголовков, и браузеры ваших клиентов по-прежнему могут получить доступ к вашему сайту.

Полный список поддерживаемых браузеров:https://caniuse.com/?search=hpkp Если вас беспокоит запекание-в старых браузерах.

Подробнее о том, почему это устарело, здесь для тех, кто заинтересован.https://scotthelme.co.uk/hpkp-is-no-more/