Perché non dovresti istituire intestazioni di Strict-Transport-Security?

2

Recentemente ho letto che l'HSTS può causare problemi con l'accesso al sito. In quali circostanze potrebbe accadere e quali sono le impostazioni HSTS sicure da implementare sul mio server web?

    
posta Peter David Carter 19.11.2017 - 20:30
fonte

1 risposta

3

I read recently that HSTS can cause problems with site access.

Sì, l'HSTS può bloccare i visitatori.

Si noti che una configurazione errata di HSTS è meno probabile e serio che per Blocco chiave HTTP Pulic ( HPKP ) , con cui viene spesso confuso. HPKP può essere difficile da implementare perché richiede di lavorare con le chiavi pubbliche, mentre l'impostazione di HSTS è piuttosto semplice.

Per ricapitolare, ciò che l'intestazione HSTS fa è istruire i client (browser) che possono accedere al tuo sito solo su HTTPS in futuro (per un tempo specificato) e non tentare alcuna connessione HTTP semplice.

In queste situazioni dovresti stare attento con HSTS:

  • Non sai per quanto tempo sosterrai HTTPS in futuro. Se invii un'intestazione HSTS con un'alta percentuale dimax-age e torni a HTTP durante quel periodo, rischi di bloccare i visitatori precedenti. Questo perché se il browser ha visto l'intestazione in precedenza, bloccherà tutti i tentativi di una semplice connessione HTTP fino alla scadenza.

  • È necessario mantenere alcuni accesso HTTP semplice, in particolare sui sottodomini. Qui devi assicurarti di non impostare il flag includeSubDomains dell'intestazione. Altrimenti, neghi l'accesso HTTP anche a tutti i sottodomini.

risposta data 19.11.2017 - 20:44
fonte

Leggi altre domande sui tag