HSTS não funciona com o Chrome

Navegue suas respostas
2

Eu configurei o Apache para retornar o cabeçalho HSTS. Ao se conectar ao link do Google Chrome e ao executar com as ferramentas do desenvolvedor, posso ver o seguinte cabeçalho de resposta: Strict-Transport-Security:max-age=63072000; includeSubdomains;

Mas isso não funciona. Quando tento acessar o link , o Chrome permite isso.

Além disso, ao executar a partir de chrome: chrome://net-internals/#hsts Query domain "lab20.example.com" , recebo "Response Not Found".

Alguém poderia explicar por que isso acontece?

    
por user2913139 01.08.2016 / 06:59

3 respostas

6

Para outras pessoas que estão vendo um problema semelhante, talvez o seu navegador ainda não tenha acessado o site por HTTPS. Tente acessá-lo por HTTPS e, em seguida, novamente por HTTP. Se a HSTS for implementada corretamente, essa última solicitação deverá falhar. MDN explica bem :

Note: The Strict-Transport-Security header is ignored by the browser when your site is accessed using HTTP; this is because an attacker may intercept HTTP connections and inject the header or remove it. When your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header.

    
por 28.07.2017 / 20:41
0

Você configurou a configuração do seu site para que o Apache forças SSL em todos os subdomínios, não apenas example.com e www.example.com?

Além disso, acredito que o chrome: // net-internals / # hsts mostra apenas consultas corretas de sites pré-carregados e adicionados por meio do link . Isso explica por que o chrome: // net-internals / # hsts não funciona para você.

    
por 01.08.2016 / 07:11
0

Isso pode acontecer porque o seu PC não tem SSL ativado ou forçado. Se você não puder desabilitar o NO-SSL, o seu PC pode não suportar a desativação do NO-SSL.

    
por 30.01.2018 / 01:56

Tags

Win_10 Driver_Power_State_Failure Criar DOSKEY permanente no Windows cmd