HSTS no Amazon CloudFront da origem S3

Question

Lenne

Asked: 2017-11-07 03:09:29 +0800 CST2017-11-07 03:09:29 +0800 CST 2017-11-07 03:09:29 +0800 CST

hsts na porta principal 80, não em outras portas

772

Eu configurei hsts para meu domínio no site http://server.mydom.tld:80 , então o navegador vai para a porta https://server.mydom.tld na porta 443

No entanto, também tenho outros servidores web, rodando em outras portas. Então, quando eu vou para http://server.mydom.tld:8888 , ele é encaminhado para https://server.mydom.tld:8888 , mas esse servidor não executa https, então a solicitação falha.

Está de acordo com as especificações?

Percebi que não executo hsts em http://mydom.tld ou http://www.mydom.tld , o que provavelmente é um erro.

O que fazer?

3 respostas

Voted

argure · Answer 1 · 2017-11-08T10:49:53+08:00

Best Answer

argure

2017-11-08T10:49:53+08:002017-11-08T10:49:53+08:00

Sim, isso é intencional. RFC 6797 afirma:

     The UA MUST replace the URI scheme with "https" [RFC2818], and

     if the URI contains an explicit port component of "80", then
     the UA MUST convert the port component to be "443", or>>

     if the URI contains an explicit port component that is not
     equal to "80", the port component value MUST be preserved;
     otherwise,

     if the URI does not contain an explicit port component, the UA
     MUST NOT add one.

     NOTE:  These steps ensure that the HSTS Policy applies to HTTP
            over any TCP port of an HSTS Host.

Você deve executar serviços HTTP simples em um domínio diferente ou, melhor ainda, usar um servidor HTTP+TLS como um proxy reverso para o serviço HTTP simples interno.

17

Somebody · Answer 2 · 2019-01-30T04:09:01+08:00

Somebody

2019-01-30T04:09:01+08:002019-01-30T04:09:01+08:00

O cabeçalho Strict-Transport-Security é ignorado pelo navegador quando seu site é acessado usando HTTP; isso ocorre porque um invasor pode interceptar conexões HTTP e injetar o cabeçalho ou removê-lo. Quando seu site é acessado por HTTPS sem erros de certificado, o navegador sabe que seu site é compatível com HTTPS e honrará o cabeçalho Strict-Transport-Security.

1

Lenne · Answer 3 · 2019-12-13T23:57:58+08:00

Lenne

2019-12-13T23:57:58+08:002019-12-13T23:57:58+08:00

Se alguém realmente não quiser executar https em outro serviço, pode adicionar um alias no DNS, então https://server.domain.tld e http://service.domain.tld:8888 estão no mesmo IP /servidor

Então é possível adicionar um redirecionamento de http://service.domain.tld e https://service.domain.tld para http://service.domain.tld:8888

0

hsts na porta principal 80, não em outras portas

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?

Ping uma porta específica

Verifique se a porta está aberta ou fechada em um servidor Linux?

Como automatizar o login SSH com senha?

Como posso dizer ao Git para Windows onde encontrar minha chave RSA privada?

Qual é o nome de usuário/senha de superusuário padrão para postgres após uma nova instalação?

Qual porta o SFTP usa?

Linha de comando para listar usuários em um grupo do Windows Active Directory?

O que é um arquivo Pem e como ele difere de outros formatos de arquivo de chave gerada pelo OpenSSL?

Como determinar se uma variável bash está vazia?

hsts na porta principal 80, não em outras portas

3 respostas

relate perguntas