- HTTP Public Key Pinning mit Let’s Encrypt Zertifikaten
·
httptls
· Es war mal wieder soweit. Drei Monate sind rum und mein Monitoring vermeldete: „You Certificate expires in 15 days“. Die Erneuerung war dank Let’s Encrypt kein Problem und innerhalb einer Minute durch. Den HTTP Header für HTTP Public Key Pinning anpassen war ein Kampf, da ich keine Dokumentation drüber hatte. Das hole ich jetzt nach.
Hashes erstellen Für den Header braucht man die Base64 encoded SHA-256 Hashes der Zertifikate. Im HTTP Header müssen mindestens zwei Pins angeben und mindestens ein Pin darf nicht einem Zertifikat in der Chain matchen.