3

これはばかげた質問のように思えますが、私は疑問に思っています:

  • ユーザーを強制的に HTTPS にリダイレクトせずに HSTS をデプロイするにはどうすればよいですか?
  • HTTP コンテンツは、HSTS を使用するドメインと同じドメインからどのように提供されますか? (サイト全体または混合コンテンツのいずれか)
  • なぜ誰かがこれをするのでしょうか?

私はEFF サイトから読んでいますが、それが行われたようです:

最近、eff.org の HSTS を有効にしました。セットアップには 1 時間もかかりませんでした。また、ユーザーを強制的に HTTPS にリダイレクトせずにそれを行う方法を見つけたので、サイトを HTTP で利用できるようにしながら、HTTPS アクセスの明確な設定を述べることができます. それは魔法のように機能し、ユーザーのかなりの割合が HTTPS でサイトに自動的にアクセスするようになりました。

私が知っているように、HSTS は HTTP ヘッダーを送信することで機能します。

Strict-Transport-Security: max-age=31536000

したがって、そのヘッダーを送信するhttps://example.net/のページにアクセスすると、ドメイン example.net への今後 31536000 秒間のすべてのリクエストは HTTPS を使用し、(応答?) が HTTP の場合、ブラウザは巨大な赤い警告が表示されます。

誰かが私のためにこれを明確にしてもらえますか? HSTS に関する私の理解は正確ですか、それとも何か不足していますか?

4

1 に答える 1

4

HSTS ヘッダーは、HTTPS 経由でのみ発行し、HTTPS 経由で受信した場合にのみユーザー エージェントによって適用する必要があります。ユーザー エージェントは、攻撃者が悪意を持って挿入した可能性があるため、HTTP 経由で送信された HSTS ヘッダーを無視する必要があります。

これは、サイトが HTTP 経由でサービスを提供し続けることができ、ユーザーが任意に HTTP 経由でブラウジングを続けることができることを意味します。ただし、https:// をアドレス バーに手動で挿入すると、HSTS ヘッダーが受信され、ユーザー エージェントはそれを HSTS ホストとして扱います。

これは、最初から HTTPS トラフィックを強制するのではなく、強制的な HTTPS トラフィックを段階的に導入する良い方法です。ユーザーが安全なオプションを認識するようになると、HTTPS トラフィックが増加し、HSTS のおかげで維持されます。おそらく、EFF はそれを徐々に導入しており、対応できることに満足したら、いつの日か大きな「HTTPS スイッチ」をフリックするかもしれません。

于 2014-01-31T09:42:59.020 に答える