Und damit das Chaos auf dem Server auch garantiert gut dokumentiert werden kann, ist die Nutzung verschiedener Zertifizierungspfade Grundvoraussetzung. Das erschwert einem zwar die Selbstverst\u00fcmmelung beim In-Den-Fu\u00df-Schie\u00dfen, forciert aber bei der Gelegenheit, dass man schon bei der zweiten Aktualisierung versehentlich den Live-Pin aus dem Header l\u00f6scht und seine Website mit Leichtigkeit unzugreifbar macht.<\/p>\n
Doch, leichter geht dies mit Automatisierung, was sich bei nginx erschreckend unkompliziert konfigurieren l\u00e4sst. Schmei\u00dfen wir hierzu in die globale SSL-Konfiguration eine simple Aufforderung zum Hinzuf\u00fcgen eines Headers:<\/p>\n
\r\nadd_header Public-Key-Pins $sslcfg_cert_hpkp;\r\n<\/pre>\nDie Variable $sslcfg_cert_hpkp ist hierbei der Name einer Map, die auf dem $ssl_server_name, also dem Wert der SNI-Extension basiert, und den angeforderten Hostname enth\u00e4lt. Doch wer jetzt denkt, diese Map l\u00e4sst sich in wenigen Augenblicken per Hand generieren, sollte seine LPIC-1-Zertifizierung \u00fcberpr\u00fcfen und ein kleines Script in die Konsole hacken:<\/p>\n
\r\n#!\/bin\/bash\r\n\r\nCFG=\/etc\/nginx\/conf.d\/sslcfg_cert_hpkp\r\n\r\nfunction list_domains() {\r\n for a in \/etc\/ssl\/public\/*.crt; do\r\n openssl x509 -in \"$a\" -text -noout -certopt no_subject,no_header,no_version,no_serial,no_signame,no_validity,no_subject,no_issuer,no_pubkey,no_sigdump,no_aux | \\\r\n awk '\/X509v3 Subject Alternative Name:\/','\/X509v3 Basic Constraints:\/' | \\\r\n grep -A1 \"X509v3 Subject Alternative Name:\" | \\\r\n grep -v \"X509v3 Subject Alternative Name:\"\r\n done | \\\r\n tr , \"\\n\" | \\\r\n grep DNS: | \\\r\n cut -d: -f2 | \\\r\n grep -v '\\*\\.' | \\\r\n sort -u\r\n}\r\n\r\nfunction list_hpkp() {\r\n for a in \/etc\/ssl\/public\/*.crt; do\r\n openssl x509 -in \"$a\" -text -noout -certopt no_subject,no_header,no_version,no_serial,no_signame,no_validity,no_subject,no_issuer,no_pubkey,no_sigdump,no_aux | \\\r\n awk '\/X509v3 Subject Alternative Name:\/','\/X509v3 Basic Constraints:\/' | \\\r\n grep -A1 \"X509v3 Subject Alternative Name:\" | \\\r\n grep -v \"X509v3 Subject Alternative Name:\" | \\\r\n tr \", \" \"\\n\" | \\\r\n grep -q \"^DNS:$1\\$\" && echo \"$a\"\r\n done | \\\r\n sort -u\r\n}\r\n\r\nfunction gen_hpkp() {\r\n for a in $(list_hpkp \"$1\"); do\r\n [ $(date +%s \"--date=$(openssl x509 -in \"$a\" -noout -dates|cut -d= -f2|head -1)\") -lt $(date +%s) ] && \\\r\n [ $(date +%s \"--date=$(openssl x509 -in \"$a\" -noout -dates|cut -d= -f2|tail -1)\") -gt $(date +%s) ] && \\\r\n openssl x509 -pubkey -noout -in \"$a\" | \\\r\n openssl rsa -pubin -inform pem -outform der | \\\r\n openssl dgst -sha256 -binary | \\\r\n base64\r\n done |\r\n xargs -i printf '; pin-sha256=\\\\\"%s\\\\\"' {}\r\n}\r\n\r\necho 'map \"$ssl_server_name\" $sslcfg_cert_hpkp {' > $CFG\r\necho ' default \"\";' >> $CFG\r\n\r\nfor b in $(list_domains 2>\/dev\/null); do\r\n printf \" \\\"%s\\\" \\\"max-age=3600%s\\\";\\n\" \"$b\" \"$(gen_hpkp \"$b\" 2>\/dev\/null)\"\r\ndone >> $CFG\r\n\r\necho '}' >> $CFG\r\n<\/pre>\nEinmal Execute-Rechte setzen; einmal ausf\u00fchren und einmal nginx restarten. Fertig.<\/p>\n
Nunja, nicht ganz: Damit das funktioniert, m\u00fcssen ALLE Zertifikate unter \/etc\/ssl\/public liegen – inklusive derer, die aktuell nicht verwendet werden, sondern als Backup dienen. Aber das sollte f\u00fcr einen ge\u00fcbten Admin ja machbar sein.<\/p>\n
P.S.: Jede Domain muss zu jedem Zeitpunkt mindestens 2 g\u00fcltige Zertifikate haben. Mehr schaden in der Regel nicht …<\/p>\n
![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\"){kind=icon}
<\/a><\/p>","protected":false},"excerpt":{"rendered":"