https://kini24.ru/tags/pin-sha256b/ Блог ленивого сисадмина ru Aegea 11.3 (v4134) Блог ленивого сисадмина 5 https://kini24.ru/all/zaschita-sayta-pri-pomoschi-http-public-key-pinning-hpkp/ Tue, 16 Aug 2016 22:24:24 +0700 https://kini24.ru/all/zaschita-sayta-pri-pomoschi-http-public-key-pinning-hpkp/ <p>Данная технология призвана защитить посетителя вашего сайта от атаки типа MITM (Man in the middle, человек посередине). Иными словами посетитель может быть уверен, что данные, которые он получает, исходят с вашего сайта, а не с какого-то другого.</p> <p>Суть технологии состоит в создании публичного ключа на основе сертификата, который установлен на вашем сайте. Соответственно, чтобы она работала, требуется валидный сертификат. Впрочем, она будет работать и на самоподписанных (self-signed) сертификатах. Полученный на основе вашего сертификата ключ добавляется в заголовок ответа вашего сервера, после чего браузер сравнивает полученный ключ с тем, который он вычисляет после получения данных о вашем сертификате.</p> <p>Итак, что нам требуется:</p> <ol start="1"> <li>Какой-либо установленный для сайта сертификат.</li> <li>Консоль для получения публичного ключа.</li> </ol> <p>Кстати, не так давно для нормального функционирования этой технологии требовался всего лишь один ключ, сейчас же нужно указывать два или более ключей. На мой взгляд двух будет достаточно, от этого и будем отталкиваться. Второй ключ является «резервным», этот момент я не совсем понимаю, но не будем отступать от требований.</p> <p>Действовал я по следующей схеме:</p> <ul> <li>— получаем сертификат на сайте <a href="https://letsencrypt.org/">Let’s Encrypt</a> для двух сайтов: example.com и www.example.com;</li> <li>— так как я использую вариант без www, то ключ, полученный на базе первого будет основным, на базе второго — резервным;</li> <li>— генерируем ключи для обоих сертификатов;</li> <li>— добавляем нужные инструкции в файл /<i>etc/httpd2/conf/sites-available/default-http.conf</i>.</li> </ul> <p>О получении сертификата рассказывать не буду, достаточно почитать главную страницу сайта. Допустим, вы его получили и установили на свой сайт. Теперь требуется создать ключи при помощи следующей команды:</p> <pre class="e2-text-code"><code class="">openssl x509 -noout -in certificate.pem -pubkey | openssl rsa -pubin -outform der | \</code></pre><pre class="e2-text-code"><code class="">openssl dgst -sha256 -binary | base64</code></pre><p>где <i>certificate.pem</i> — полный путь к сертфикату.</p> <p>После выполнения команды вы получите нечто подобное:</p> <p><b><i>LPJNul+wow4m6DsqxbninhsWHlwfp0JecwQzYpOLmCQ=</i></b></p> <p>Это и есть нужный вам ключ. Повторяем команду для второго сертификата и добавляем данные в файл конфигурации сайта:</p> <pre class="e2-text-code"><code class="">Header set Public-Key-Pins &quot;pin-sha256=\&quot;pin1\&quot;; pin-sha256=\&quot;pin2\&quot;; max-age=time&quot;</code></pre><p>где:</p> <ul> <li><i>pin1</i> — основной ключ для данного сайта. В моем случае example.com;</li> <li><i>pin2</i> — резервный ключ для сайта. То есть www.example.com;</li> <li><i>time</i> — время действия ключа в секундах.</li> </ul> <p>Опциональный параметр <i>includeSubDomains</i> указывает на то, что ключи действительны также для поддоменов. Еще один необязательный параметр report-uri указывает на адрес, куда должны отправляться отчеты об ошибках в формате JSON. Его я, возможно, добавлю на сайт, но пока что считаю его ненужным для себя.</p> <p>Какие тут есть нюансы? Если вы неправильно настроите HPKP, ваш сайт станет недоступен. Можно также настроить отправку отчетов в случае каких-либо ошибок. Для этого немного меняем заголовок (или просто добавляем еще одной строкой):</p> <pre class="e2-text-code"><code class="">Header set Public-Key-Pins-Report-Only &quot;pin-sha256=\&quot;pin1\&quot;; pin-sha256=\&quot;pin2\&quot;; max-age=time&quot;</code></pre>