Voglio proteggere i client dall'attacco sslstrip. HSTS dovrebbe essere usato. Ma HSTS non protegge la prima visita del client sul server. Quindi voglio includere la politica HSTS nelle risposte dns e inviare ai client che stanno richiedendo. È possibile? Se possibile, come implementarlo?
Non con gli standard e le norme attuali, per quanto ne so.
La query DNS più ovvia è il record A e non vedo un modo diretto per incorporare l'HST lì - a meno che non sia incluso nella sezione delle informazioni aggiuntive della risposta DNS.
L'altra alternativa (e il bit più utilizzato / abusato del DNS) è il record TXT.
Poiché non esiste uno standard, di fatto o di altro tipo, è necessario implementare un browser diffuso prima che funzioni. Non so se c'è abbastanza motivazione per farlo, a causa dell'opzione disponibile di Pre-caricamento HSTS (vedi qui, qui e qui ). È abbastanza facile chiedere di precaricare il tuo dominio ai principali browser. È anche facile rompere le tue app se manchi di rinnovare / ricevere certificati per qualsiasi tuo infra - dopo entri nella lista (sì, sembra che accada più frequentemente di quanto pensiamo).
Potremmo argomentare che il cablaggio in DNS sia un impianto idraulico migliore (dando la prima opportunità) ma viste le difficoltà che DNS ha avuto nel corso degli anni nei suoi tentativi di sicurezza (DNSSEC in particolare), ha i suoi problemi.
Quindi per ora, HSTS-PreLoad è la soluzione pratica, disponibile e ampiamente implementata, se non perfetta; non DNS.