HSTS'yi intranet alt etki alanında nasıl aşabilirim?


1

Dolayısıyla, bir intranet alanının alt alanını kontrol eden küçük bir web sunucusu üzerinde kontrolüm var; etki alanı HSTS açık, bu nedenle alt etki alanıma HTTP üzerinden bağlanamıyorum; Ayrıca kendinden imzalı sertifikaları ve HTTPS'yi kullanamıyorum. Uygun bir sertifika almak için Let's Encrypt'ı kullanmayı düşündüm, ancak alan adı internetten erişilemediğinden bunu da yapamam.

HSTS'yi bir tarayıcı aracılığıyla sunucuma bağlanacak şekilde atlatmanın bir yolu var mı? (Eğer önemliyse, bir Jupyter örneği kurmaya çalışıyorum)


1
HSTS, açıkça eklediğiniz sürece alt alanları etkilemez includeSubdomains
Bob

Görünüşe göre dahil edilmiştir; Yalnızca alt etki alanı üzerinde denetimim var, bu yüzden HSTS'yi yapılandırmadım
Akiiino

Maalesef, geçerli HTTPS ayarlama veya ana alan adının yöneticisini kaldırmaya zorlandığınız için sıkıştı includeSubdomains (ve yalnızca kullanıcı değilseniz, önceki HSTS girişinin sona ermesini bekliyoruz).
Bob

Yanıtlar:


1

Aslında, bu HSTS spesifikasyonunda ele alınmıştır. RFC 6797 (benimkine vurgu yapar):

11.3. HSTS'yi Kendinden İmzalı Genel Anahtar Sertifikalarıyla Birlikte Kullanma

Aşağıdaki koşulların dördü de doğruysa ...

o bir web sitesi / organizasyon / işletme kendi güvenliğini yaratıyor   web siteleri için ortak anahtar sertifikaları aktarmak ve

[...]

... o zaman HSTS'ye göre, bu siteye güvenli bağlantı kurulamaz.   tasarımı. Bu, çeşitli aktif saldırılara karşı korumaktır.   yukarıda tartışılan.

[...]

Ancak, eğer söz konusu kuruluş kendi CA'sını kullanmak isterse ve   kendinden imzalı sertifikalar, HSTS ile uyum içinde kök CA sertifikasını kullanıcılarının tarayıcılarına veya işletim sistemi CA kök sertifika depolarına dağıtma . Ayrıca, içinde   ekleme veya yerine kullanıcılarının tarayıcılarına dağıt   belirli ana bilgisayarlar için son varlık sertifikaları .

Yani bunlardan birini yapmanız gerekir:

  • kendi oluşturduğunuz sertifikanızı bir CA sertifikasıyla (sizin de oluşturduğunuz) imzalayın ve CA sertifikasını tarayıcıya yükleyin (veya tarayıcı kullanıyorsa işletim sistemi deposuna yükleyin).
  • kendinden imzalı sertifikayı tarayıcıya veya işletim sistemi deposuna yükleyin.

Sertifikanın nasıl yükleneceği tarayıcıya bağlıdır; Bunun nasıl yapılacağına dair çok sayıda cevap var.

Aslında, normal sertifika uyarılarını engellediğinden, HSTS olmadan da yapmanız gereken şey budur. Ancak, HSTS ile aslında tek yol bu.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.