2

Я настроил Apache для возврата заголовка HSTS. При подключении к https://lab20.example.com из Google Chrome и работе с инструментами разработчика я вижу следующий заголовок ответа: Strict-Transport-Security:max-age=63072000; includeSubdomains;

Но это не работает. Когда я пытаюсь получить доступ к http://lab20.example.com, Chrome позволяет это.

Также при запуске из chrome: chrome://net-internals/#hsts Query domain "lab20.example.com" я получаю "Ответ не найден".

Кто-нибудь может объяснить, почему это происходит?

3 ответа3

7

Для тех, кто видит подобную проблему - это может быть потому, что ваш браузер еще не получил доступ к сайту через HTTPS. Попробуйте получить доступ к нему через HTTPS, а затем снова через HTTP. Если HSTS реализован правильно, последний запрос должен завершиться неудачей. MDN объясняет это красиво:

Примечание. Заголовок Strict-Transport-Security игнорируется браузером при обращении к вашему сайту по HTTP ; это потому, что злоумышленник может перехватить HTTP соединения и внедрить заголовок или удалить его. Когда к вашему сайту обращаются по HTTPS без ошибок сертификата, браузер знает, что ваш сайт поддерживает HTTPS и будет учитывать заголовок Strict-Transport-Security .

0

Вы настроили конфигурацию своего сайта так, чтобы Apache включал SSL для всех поддоменов, а не только для example.com и www.example.com?

Также я считаю, что chrome://net-internals/# hsts показывает только правильные запросы с сайтов, которые предварительно загружены и добавлены через https://hstspreload.appspot.com/ . Это объясняет, почему chrome://net-internals/# hsts не работает для вас.

0

Это может быть связано с тем, что на вашем компьютере включена или отключена поддержка SSL. Если вы не можете отключить NO-SSL, то ваш компьютер может не поддерживать отключение NO-SSL.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .