Situação: Um site que gerenciamos foi migrado para uma nova solução hospedada e também terá um novo nome de domínio. Os clientes desejam manter o nome de domínio antigo e redirecioná-lo para o novo nome de domínio na solução hospedada (sobre a qual basicamente não temos controle).
Adicionei um redirecionamento 301 no nível do AWS Application Load Balancer. Ele desvia perfeitamente o tráfego do URL antigo para o novo. O problema, porém, é que o pessoal da segurança determina que o URL antigo - para continuar - precise responder com um cabeçalho HSTS. Isso está um pouco fora da minha área e não estou encontrando uma solução excelente para isso.
A única solução viável que consigo pensar - ainda não testei, porque espero que haja algo melhor - é manter o servidor no back-end e fornecer um cabeçalho HSTS antes de fornecer o redirecionamento. Parece um pouco demais manter um servidor apenas para adicionar um cabeçalho.
Lendo a documentação e outros tópicos aqui, não parece que posso adicionar um cabeçalho HSTS diretamente à resposta do ALB.
Acho que as opções como as vejo agora são:
- Convença o cliente a abandonar o domínio antigo
- Convença o pessoal da segurança de que a falta de HSTS no domínio antigo é aceitável
- Mantenha um servidor rodando apenas para fornecer o HSTS (se isso funcionar)
- Algo mais?
Isso é engraçado, tive a mesma coisa no mês passado. DR: lute contra eles, você não tem uma vulnerabilidade de segurança em um domínio que faz apenas um redirecionamento 301.
Na verdade, o manual de segurança padrão cobre os requisitos de HSTS para servidores web que atendem sites. Como o domínio antigo não atende sites, mas serve apenas como redirecionamento, a maioria dos manuais de segurança não aceita HSTS. O HSTS só ajuda realmente em páginas da web reais. Não há página da web aqui. Não há problema de segurança. O pessoal de segurança trabalha normalmente com caixas de seleção, em vez de conhecer qualquer uma das tecnologias ou o porquê, então eles podem precisar que isso lhes seja explicado.
Além disso: seu domínio antigo não atende sites HTTP, portanto, ter HSTS também é inútil aqui.
Resumindo, eles deveriam conceder uma exceção nessa caixa de seleção em sua planilha, porque a falta de HSTS não é um problema de segurança para um redirecionamento 301 (ou qualquer outro 3xx) e você não está atendendo nenhum outro tráfego. E você também está servindo sites apenas no próprio HTTP no domínio antigo. Ambos tornam o HSTS inútil.