É seguro desativar o pré-carregamento de HSTS, desde que o site permaneça acessível via HTTPS?

1

Eu tenho um site que usa o serviço Cloudflare gratuito e habilitei HTTP Strict Transport Security (HSTS) preloading nele.

Se eu quiser remover o domínio do Cloudflare e direcionar diretamente para o meu servidor onde o domínio está hospedado com um certificado SSL válido, o site permanecerá acessível, independentemente de o período de tempo max-age expirar ou não?

O único local que eu habilitei HTTP Strict Transport Security (HSTS) está dentro do console do Cloudflare, mas não está realmente configurado no servidor de origem.

Fonte do painel de aviso do Cloudflare HSTS

Obrigado.

    
por Brian King 01.07.2016 / 22:11

3 respostas

1

O HTTP Strict Transport Security (HSTS) não impede que você altere seus registros DNS para apontar para um endereço IP diferente, apenas impede que navegadores habilitados para HSTS (que viram o cabeçalho HSTS ou foram pré-carregados, por exemplo, Chrome) tentando se conectar via HTTP (vs. HTTPS).

Tudo o que isso faz é fazer com que o navegador compatível com HSTS altere uma solicitação de http://example.com para https://example.com antes enviar a solicitação, garantindo que nenhuma informação seja enviada imediatamente.

O aviso do Cloudfare apenas informa que, quando você altera as empresas de hospedagem, é necessário certificar-se de que você também tem um SSL válido instalado no novo site.

Como você tem o certificado SSL válido no novo local de hospedagem, é bom ir. Apenas atualize seu DNS e continue!

Se você estiver mantendo o SSL, não há nenhum motivo para desativar o HSTS . Por outro lado, não ter HSTS em um site com SSL torna esse site menos seguro porque o tráfego que teria sido impedido pelo HSTS de fluir via HTTP é capaz de atravessar a Internet claramente.

Até agora um "pré-carregamento" de HSTS, esse é o processo de empresas como o Google que pré-carrega o cabeçalho HSTS no navegador Chrome (em oposição ao navegador ter visitado o site antes de armazenar o cabeçalho). Como todas as informações do cabeçalho HSTS, as informações HSTS pré-carregadas são armazenadas pelo nome do host, não endereço IP. Você está sempre livre para alterar o endereço IP no qual o site está hospedado. Por outro lado, eliminar o SSL depois de ativar o HSTS é o que dificulta (se não impossibilitar) a visita de alguns usuários ao seu site.

    
por 02.07.2016 / 01:25
0

Nós (CloudFlare) propagamos o DNS rapidamente. Há uma chance razoável de que uma versão em cache possa ser exibida inicialmente, mas não seria mais que 300 segundos (provavelmente menos).

    
por 02.07.2016 / 01:14
0

A resposta de Colt é a certa.

No entanto, para adicionar um pouco mais de pré-carregamento:

Se você tiver a marca "preload" configurada no cabeçalho, poderá enviar o site para uma lista de pré-carregamento para que o fato de usar a HSTS seja incorporado ao navegador, em vez de se o navegador viu o cabeçalho pela última vez o tempo max-age.

Parece também que alguns navegadores adicionam proativamente seu site à lista de pré-carregamento quando vêem um cabeçalho contendo a palavra-chave preload. Então você pode ser pré-carregado sem perceber.

O local mais fácil de verificar é no link e, na parte inferior, há o campo Pré-carregamento de HSTS que informará quais pré-carregamentos dos navegadores listas em que seu site está.

Isso é importante por dois motivos:

  1. Você pode não perceber que seu site está pré-carregado e, após algum tempo longe da Cloudflare, pode achar que é seguro desativar o HTTPS, mas talvez não seja.

  2. É possível que você deseje permanecer pré-carregado, mas o Google Chrome está alertando que, no futuro, eles poderão remover domínios dos sites internos. lista se o domínio não continuar fornecendo o cabeçalho com a palavra-chave preload. Nesse caso, se você deseja permanecer, deve adicionar o cabeçalho HSTS correto ao servidor base.

E, finalmente, você deve estar ciente de que o pré-carregamento (geralmente) exige o argumento "includesubdomains" para que todos os subdomínios do seu domínio também estejam na lista de pré-carregamento, mesmo que você nunca tenha publicado explicitamente esse cabeçalho no subdomínio.

O pré-carregamento acrescenta um pouco de complexidade e restrições, então é necessário entender completamente o que isso significa se você quiser reverter o HTTP por algum motivo.

    
por 10.07.2016 / 09:36