Почему я не могу добавить исключение безопасности для сайта, защищенного HSTS?
У меня два веб-приложения.
Оба используются для тестирования в сценарии обратного прокси.
Сертификат SAN используется (альтернативное имя субъекта) для обоих.
1 позволяет добавить исключение безопасности, другой - нет.
Тот, который позволяет иметь заголовок HSTS только на одной странице, добавить в сам код PHP:
<?php header("strict-transport-security: max-age=600"); ?>
Другой - понятия не имею, у меня нет доступа к исходному коду.
Возможные причины того, почему у одного может быть исключение, а у другого нет, были бы мне очень полезны. Спасибо.
HSTS используется оператором веб-сервера или веб-приложения как лучшая защита от атак посредника. Он пытается это сделать, обращаясь к следующим способам человека посередине.
- Замена HTTPS-ссылок на HTTP, т.е. sslstrip атака: браузер не будет разрешать доступ по протоколу HTTP к сайтам, где он знает (по результатам предыдущих посещений), что этот сайт применяет HTTPS.
- Человек с SSL посередине с поддельным сертификатом в надежде, что пользователь просто добавит исключение, чтобы «получить бесплатный iPad» или какой-либо другой вид социальной инженерии: это делается путем запрета сайтам HSTS в этом исключении.
Таким образом, эти ограничения являются явным выбором оператора сайта для повышения безопасности даже для нетехнических пользователей.