De onde o Firefox obtém as informações do HSTS?


0

Eu tenho um servidor local que atende HTTPS usando um certificado autoassinado. Não serve http. O certificado é emitido com cn = host1.subdomínio1.domínio1. O servidor também pode ser acessado com o nome host2. Se eu abrir https: // host2 , recebo avisos, mas posso definir uma exceção para o certificado e acessar o conteúdo dos servidores. O servidor não retorna e nunca retornou um cabeçalho HSTS. Se eu acessar o servidor via https: //host1.subdomain1.domain1 , o Firefox emitirá um aviso HSTS e não permitirá uma exceção. É possível que os servidores no domínio1 ou no subdomínio1.domínio1 entreguem cabeçalhos HSTS. Possivelmente eles se aplicaram a subdomínios também.

Mas: mesmo depois de limpar o histórico e as entradas about: Permissions, o comportamento é o mesmo. Então, de onde vêm as informações do HSTS?

Respostas:


1

O cabeçalho HSTS pode instruir o navegador a incluir subdomínios usando includeSubDomains. Os navegadores também podem conter uma lista pré-carregada de domínios que usam HSTS.

  • Um site pode usar o seguinte para especificar HSTS com duração de seis meses e incluindo subdomínios:

    Strict-Transport-Security: max-age=15768000; includeSubDomains
    
  • O efeito de fazer isso é exatamente como descrito em sua pergunta. A chave aqui é includeSubDomainsno final da linha do cabeçalho.

  • Observe que as versões atuais da maioria dos principais navegadores mantêm uma lista interna de sites conhecidos por usar HSTS e, portanto, podem exigir conectividade HTTPS mesmo quando se conectam a um domínio específico pela primeira vez. Consulte também: OWASP on HTTPS Strict Transport Security .

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.