Recentemente ho letto che l'HSTS può causare problemi con l'accesso al sito. In quali circostanze potrebbe accadere e quali sono le impostazioni HSTS sicure da implementare sul mio server web?
Recentemente ho letto che l'HSTS può causare problemi con l'accesso al sito. In quali circostanze potrebbe accadere e quali sono le impostazioni HSTS sicure da implementare sul mio server web?
I read recently that HSTS can cause problems with site access.
Sì, l'HSTS può bloccare i visitatori.
Si noti che una configurazione errata di HSTS è meno probabile e serio che per Blocco chiave HTTP Pulic ( HPKP ) , con cui viene spesso confuso. HPKP può essere difficile da implementare perché richiede di lavorare con le chiavi pubbliche, mentre l'impostazione di HSTS è piuttosto semplice.
Per ricapitolare, ciò che l'intestazione HSTS fa è istruire i client (browser) che possono accedere al tuo sito solo su HTTPS in futuro (per un tempo specificato) e non tentare alcuna connessione HTTP semplice.
In queste situazioni dovresti stare attento con HSTS:
Non sai per quanto tempo sosterrai HTTPS in futuro. Se invii un'intestazione HSTS con un'alta percentuale dimax-age
e torni a HTTP durante quel periodo, rischi di bloccare i visitatori precedenti. Questo perché se il browser ha visto l'intestazione in precedenza, bloccherà tutti i tentativi di una semplice connessione HTTP fino alla scadenza.
È necessario mantenere alcuni accesso HTTP semplice, in particolare sui sottodomini. Qui devi assicurarti di non impostare il flag includeSubDomains
dell'intestazione. Altrimenti, neghi l'accesso HTTP anche a tutti i sottodomini.