グーグル、HPKPのサポートやめるってよ

 このブログのセキュリティテストをやっていたら、「HPKPやってねーな」という診断結果が出た。Dockerfileとシェルスクリプトでそれの自動設定までやってしまうコンテナを作ろうと調べながらゴリゴリやっていた。ちょっと進めたところで見つけた記事が↓。
グーグル、「Chrome 67」でHPKPのサポートを廃止へ


 そして自動化の残骸。
envsubst '$$LINK_NAME,$$DOMAIN,$$KEY1,$$KEY2' </etc/nginx/nginx.template > /etc/nginx/nginx.conf

nginx.template

worker_processes 1;

events { worker_connections 1024; }

http {
sendfile on;
server_tokens off;

gzip on;

upstream app_servers {
server ${LINK_NAME};
}

server {
listen *:443 ssl http2;

ssl_certificate /etc/letsencrypt/live/${DOMAIN}/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/${DOMAIN}/privkey.pem;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
add_header Public-Key-Pins 'pin-sha256="${KEY1}"; pin-sha256="${KEY2}"; max-age=2592000; includeSubDomains';

location / {
proxy_pass http://app_servers;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $server_name;
}
}
}
comment: 0