Esiste un metodo per sapere se un sito Web è solo https o utilizza anche pagine Web http? Può essere fatto senza utilizzare la cache del browser?
Esiste un metodo per sapere se un sito Web è solo https o utilizza anche pagine Web http? Può essere fatto senza utilizzare la cache del browser?
Presumo che tu stia parlando di HSTS .
HSTS è TOFU (Fiducia al primo utilizzo). Quindi dal secondo utilizzo in poi, sei protetto.
Ma per quanto riguarda il primo utilizzo?
Non penso che ci sia una strategia unificata. Ma ecco alcune idee:
Cosa funziona oggi
Cosa potrebbe funzionare in futuro
DANE / DNSSEC: DNS è un veicolo per scopi generali per la memorizzazione di informazioni sui nomi di dominio. L'articolo di Wikipedia su HSTS suggerisce che questo potrebbe essere usato in futuro per indicare il supporto HTTPS. - " DANE " è un meccanismo che utilizza DNSSEC (la forma firmata di DNS) per comunicare informazioni criptate su un nome del dominio. Ad esempio, per dire "solo questa CA può firmare i miei certificati HTTPS". Ciò si ottiene posizionando qualcosa come questo nel server DNS:
_443._tcp.www.example.com. IN TLSA (
0 0 1 d2abde240d7cd3ee6b4b28c54df034b9
7983a1d16e8a410e4561cb106618e971 )
Ora questo dice a chiunque (a chi importa di chiedere) che una chiave crittografica specifica sia associata in qualche modo a un servizio in esecuzione sulla porta 443 su www.example.com.
Ora un essere umano può facilmente intuire: "Va bene, 443 sarà probabilmente HTTPS", quindi connettersi con HTTPS anziché con HTTP semplice. Ma ciò che non è possibile dedurre da un record DANE esistente è che HTTPS è completamente supportato per ogni bit del sito web. (Ad esempio, HTTPS potrebbe essere utilizzato solo per accedere a quel sito e non funzionare per il resto del sito.)
Ma AFAIK non esiste ancora un meccanismo per comunicare "Usa HTTPS!" su un browser.