HSTS Chrome ile çalışmıyor


2

Apache'yi HSTS başlığını döndürecek şekilde yapılandırdım. Google Chrome’dan https : //lab20.example.com’a bağlanırken ve geliştirici araçlarıyla çalışırken aşağıdaki yanıt başlığını görebiliyorum:Strict-Transport-Security:max-age=63072000; includeSubdomains;

Ama bu çalışmıyor. Http://lab20.example.com adresine erişmeye çalıştığımda , Chrome buna izin veriyor.

Ayrıca kromdan çalışırken: chrome://net-internals/#hsts Query domain "lab20.example.com""Yanıt Bulunamadı" mesajı alıyorum.

Bunun neden olduğunu açıklayan var mı?


Sunucuda hsts'yi etkinleştirin
mussdroid

Yanıtlar:


8

Benzer bir sorunla karşılaşan diğer kişiler için - tarayıcınız siteye henüz HTTPS üzerinden erişmemiş olabilir. HTTPS üzerinden ve sonra tekrar HTTP üzerinden erişmeyi deneyin. HSTS doğru bir şekilde uygulanırsa, bu son istek başarısız olmalıdır. MDN bunu güzelce açıklıyor :

Not: Sitenize erişildiğinde Strict-Transport-Security, bu başlık tarayıcı tarafından dikkate alınmazHTTP ; Bunun nedeni, saldırganın HTTPbağlantıları kesmesi ve başlığa enjekte etmesi veya çıkarması olabilir. Sitenize HTTPShiçbir sertifika hatası olmadan erişildiğinde , tarayıcı sitenizin HTTPSyetenekli olduğunu bilir ve Strict-Transport-Securitybaşlığı onurlandırır .


Aşağı oy için bir sebep var mı? Bu bir cevaptan ziyade bir yorum mu olmalı?
sfarbota

Aşağı oylama anlamıyorum. Ben de aynı sorunu http:yaşadım ve cevabınızı okumadığım sürece benim için işe yaramadığı açık değildi .
ernesto che

0

Site yapılandırmanızı, Apache'nin yalnızca example.com ve www.example.com adreslerinde değil tüm alt etki alanlarında SSL'yi zorlaması için yapılandırdınız mı?

Ayrıca, chrome: // net-internals / # hsts öğesinin yalnızca önceden yüklenmiş ve https://hstspreload.appspot.com/ aracılığıyla eklenmiş sitelerden gelen sorguları gösterdiğine inanıyorum . Bu, chrome: // net-internals / # hsts'ın sizin için neden çalışmadığını açıklar.


Sadece bir etki alanım var: lab20.example.com, 80 numaralı bağlantı noktası için sanal ana bilgisayara ve HSTS etkinleştirilmiş bağlantı noktası 443 için başka bir sanal ana bilgisayara sahip. Ve evet - "includeSubdomain"; (web tarayıcım lab2.example.com adresini https üzerinden sorarken yanıtta doğru bir başlık alıyor). Öyleyse neden çalışmıyor, Chrome 47 ve 52 ile test edildi (47, caniuse.com/#feat=stricttransportsecurity uyarınca çalışmayabilir )
user2913139

Hmm, pek emin değilim. Lab20.example.com:80'deki tüm isteklerin lab20.example.com:443 ( wiki.apache.org/httpd/RedirectSSL ) adresine yönlendirmesini sağlayacak şekilde ekleyeceğim . Ayrıca, yalnızca belirli bir alt etki alanı için HSTS'ye ihtiyacınız varsa, includeSubdomain'leri kaldırmayı ve yalnızca HSTS başlığını alt etki alanına yerleştirmeyi deneyebilirsiniz. Başka bir şey, aptal olabilir ama 'includeSubdomain' yerine 'includeSubDomains' koyardım.
isdf,

1
Tamam, düzelttim. Sorun, krom güvenilir bir mağazada CA olmamamdı. Manuel olarak istisna eklendi. Böyle bir senaryo kromu HSTS başlıklarını onurlandırmıyor gibi görünüyor. Bir kez güvenilir mağazaya CA ekledikten sonra her şey yolunda gidiyor - alanımı da chrome: // net-internals / # hsts içinde görüyorum. Teşekkürler !
kullanıcı2913139

@ user2913139 bu hala doğru mu? O zaman bir cevap olarak kaydedilmelidir.
David Balažic

0

Bilgisayarınızda NO-SSL etkin veya zorunlu olduğundan olabilir. NO-SSL’yi devre dışı bırakamazsanız, bilgisayarınız NO-SSL’nin devre dışı bırakılmasını desteklemeyebilir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.