0

我需要检查网站列表以检查它们是否支持 HSTS 政策。

我抓住了他们的回复标题。但是,我现在很困惑,因为看起来 HSTS 策略订阅可以通过预加载的列表来完成,而不仅仅是标题(我可能错了,但我不明白这一点)。

检查网站响应标头(即查找Strict-Transport-Security标头)是否可以正确回答以下问题:网站是否支持 HSTS 政策?

因为有一个预加载列表。我不确定:网站可以在不发送 HSTS 标头的情况下订阅列表吗?即网站可以在不发送Strict-Transport-Security标头的情况下支持 HSTS 策略吗?

我在这里查看了 Chrome 的 HSTS 预加载列表订阅页面。它说:

如果您的站点致力于 HTTPS 并且您希望预加载 HSTS,我们建议执行以下步骤:[...] 将 Strict-Transport-Security 标头添加到所有 HTTPS 响应并逐步提高 max-age,使用以下标头值:[...]

谁能给我澄清一下。首先,suggestChrome 的页面中的词不清楚。这是必须的吗?还是可选的?第二,如果是必须的,那么,如果要订阅列表的网站无论如何都需要发送HSTS标头,为什么要订阅列表?这个列表是否只是为了提供一种保护第一个连接的方法(不能使用 HSTS 标头方法保护)?或者它是双重检查的意思或类似的东西?请向我澄清。

底线问题:我检查标题是否足以说明给定网站是否支持 HSTS 政策,而无需根据 Chrome 预加载列表检查网站?

如果需要根据 Chrome 的 HSTS 预加载列表检查网站,请指点我如何自动执行此操作(我无法手动执行此操作,因为我的网站列表不是一个或两个)。此外,如何根据过去(几个月前)的特定日期列表检查网站。

4

1 回答 1

0

检查网站响应标头(即查找 Strict-Transport-Security 标头)是否可以正确回答以下问题:网站是否支持 HSTS 政策?

是的。

因为有一个预加载列表。我不确定:网站可以在不发送 HSTS 标头的情况下订阅列表吗?即网站可以在不发送 Strict-Transport-Security 标头的情况下支持 HSTS 策略吗?

从技术上讲,他们可以。但是,它们可能会从预加载列表中删除。此外,并非所有浏览器都支持预加载(尽管主流浏览器支持),并且它们并不都使用相同的预加载列表。因此,标题是必须的,列表是可选的。

谁能给我澄清一下。首先,Chrome页面中的suggest这个词不清楚。这是必须的吗?还是可选的?

一般来说,规则是必须的,如果不遵守规则,它们将不会被自动接受到列表中,并且可能会从预加载列表中删除。但是,规则会被打破,如果需要,您可以手动请求添加。例如https://gov.uk(英国政府)在预加载列表中,但在 HSTS 标头上没有 includesSubDomain 属性。这可能是因为他们尚未将所有子域都转换为 HTTPS,但仍希望保护这个重要的顶级站点的预加载。并非我们所有人都受到英国政府的影响,因此对于其他人来说,最好遵守所有规则并自动提交。

第二,如果是必须的,那么,如果要订阅列表的网站无论如何都需要发送HSTS标头,为什么要订阅列表?这个列表是否只是为了提供一种保护第一个连接的方法(不能使用 HSTS 标头方法保护)?或者它是双重检查的意思或类似的东西?请向我澄清。

正确的。预载是为了保护第一个负载。没有这个,浏览器就没有看到 HSTS 标头,因此不知道该站点支持 HSTS。

老实说,我认为预加载对于大多数网站来说都是多余的,我真的不喜欢在你无法控制的地方硬编码这个概念,这可能是一把枪,正如我在这篇博文中讨论的那样。通常(但并非总是如此!)第一个请求相对安全(因为您没有 cookie),只要您使用安全的网站技术(安全、HTTPOnly cookie、HSTS 和重定向到 HTTPS),风险相对较低。但是,如果您是全球知名网站(例如英国政府),那么预加载确实提供了最好的保护。

底线问题:我检查标题是否足以说明给定网站是否支持 HSTS 政策,而无需根据 Chrome 预加载列表检查网站?

差不多,如上所述。尽管您可能有一些边缘情况,它(是?)仍然预加载但已停止发布标题。这取决于您究竟为什么需要知道是否使用 HSTS。

如果需要根据 Chrome 的 HSTS 预加载列表检查网站,请指点我如何自动执行此操作(我无法手动执行此操作,因为我的网站列表不是一个或两个)。此外,如何根据过去(几个月前)的特定日期列表检查网站。

您需要对照 HSTS 源代码检查这一点,并查看此列表的历史版本。并不是说其他​​浏览器可能不会使用这个相同的列表。对于手动检查一个或两个站点的当前状态,SSLLabsHardenize等工具基本上会为您解析此列表。

于 2019-07-09T11:42:39.593 回答