L'intestazione HSTS è utile senza un certificato riconosciuto?

1

L'applicazione su cui sto lavorando è accessibile solo tramite l'indirizzo IP, quindi la connessione HTTPS viene fornita tramite un certificato personalizzato.

Ho spiegato al mio cliente che (dai documenti MDN )

[...] when your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header.

quindi non funziona con il certificato self-sigend, ma lo vuole comunque a causa di (citando) "ragioni di sicurezza".

L'intestazione HSTS ha qualche utilità in caso di certificati autofirmati?

    
posta Marko Pacak 13.04.2018 - 13:36
fonte

1 risposta

3

L'HSTS non funzionerà con i tipici certificati autofirmati, vale a dire dove l'emittente è il certificato stesso. Ma funzionerà con certificati emessi da qualsiasi CA, a condizione che questa CA sia aggiunta come affidabile al browser. Ciò significa anche che alcune CA private possono essere utilizzate per creare il certificato in questione fino a quando questa CA privata viene aggiunta come attendibile ai browser.

    
risposta data 13.04.2018 - 14:18
fonte

Leggi altre domande sui tag