Cara membuat HTTP Public Key Pinning

Jadi kemarin saya baru sadar ada kesalahan dalam pembahasan header security HTTP yakni HPKP (HTTP Public Key Pinning) dari pertanyaan mas Odingk, saya sebut sekilas tapi tidak berikan cara membuat dan pakainya. Mungkin waktu itu masih belajaran jadi tidak disentuh sama sekali. 😀

Jadi kita memerlukan fingerprint dari sertifikat SSL yang dipakai websitenya. Yang perlu anda lakukan untuk mendapatkan sidik jarinya adalah eksekusi perintah berikut:

openssl x509 -pubkey < sertifikat_ssl.crt | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Dan akan muncul deretan kode seperti ini nantinya:

klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=

Setelah itu bisa kita tambahkan dalam header HTTPnya:

  • Apache
    Header set Public-Key-Pins "pin-sha256=\"klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY="; includeSubDomains; max-age=60"
  • Nginx
    add_header Public-Key-Pins 'pin-sha256="klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY="; includeSubdomains; max-age=60'

Lama waktu berlakunya (max-age) saya berikan 60 detik supaya apabila ada masalah anda tidak terblokir terlalu lama durasinya. Kalau tidak ada masalah pada konfigurasi HPKPnya bisa ditingkatkan menjadi 2592000 misalnya.

Oh ya, anda bisa menyisipkan beberapa fingerprint sertifikat SSL apabila anda ingin menggunakan backup sertifikat SSL apabila yang sedang digunakan bermasalah. Jadi butuh lebih dari satu sertifikat SSL, ini tidak wajib tapi saya informasikan saja kalau bisa.

6 thoughts on “Cara membuat HTTP Public Key Pinning

  1. iya saya kemarin sempat error pas menambahkan Public Key Pinning, tapi saya cari tutor lain akhirnya bisa. thx mas sudah kasi pencerahan.. Salam

    • Sep mas. Tampaknya dulu saya pas nulis tutorialnya belum menguasai/paham jadinya cuma disebut saja tapi ga dimasukin kodenya. 😀

  2. Kalo di shared hosting gimana caranya agar mendapat Public Key pinning ini?
    Encoded dan decoded SSL sertifikatnya saya bisa copy paste, tapi selain dengan command linux VPS, bisa kah cara lain untuk shared server?

Leave a Comment