Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:crypto:hpkp [2018/03/07 21:29] – beu
+++ kb:crypto:hpkp [2018/07/03 07:45] (Version actuelle) – beu
@@ Ligne 3: / Ligne 3: @@
 ====Comprendre HPKP====
-FIXME
+HPKP est une en-tête HTTPS permettant d'indiqué au client pendant une durée déterminé quel seront les certificats HTTPS qui pourront lui être présenté.
+Les problèmes pouvant être rencontrées sont les suivants :\\
+  * C'est une méthode [[https://en.wikipedia.org/wiki/Trust_on_first_use| TOFU]], donc si la personne n'est jamais venu sur site ou après l’expiration de la durée indiqué dans l'en-tête depuis sa dernière visite , on ne pourra assuré quel n'est pas de MITM sur la communication.
+  * Très casse gueule, si la moindre erreur la personne ne pourra pas accéder au site jusqu’à l'expiration de son en-tête.
+  * Un changement de certificat se doit d'être réalisé en 3 étapes qui prennent la durée minimum indiqué dans l'en-tête.
+Voici les recommandations officiels :
+  * Toujours avoir une paire de clé/certificat de secours dans l'en-tête en cas de compromissions du serveur.
+  * La durée de rétention est de 60 jours
 ====Compatibilité avec Let's Encrypt====
@@ Ligne 13: / Ligne 22: @@
 Pour obtenir le **HASH** du certificat, il faut taper la commande :
-<code>
+<code bash>
 # openssl req -pubkey < /etc/letsencrypt/wiki.virtit.fr/live/cert.csr | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
 </code>