Forzar https sin 301

3

Para el .htaccess de mi sitio web actualmente tengo:

RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

De modo que cuando alguien visita la página a través de http obtiene un 301 y luego se conecta a través de SSL / TLS. Sin embargo, esto todavía abre a los usuarios a los ataques MITM a través de sslstrip. Noté que si voy a enlace en mi registro de red, la solicitud cambia a enlace antes de que una respuesta vuelva, previniendo un ataque MITM. Me preguntaba cómo se logró esto para poder forzar mejor SSL / TLS.

Gracias

    
pregunta winhowes 10.06.2015 - 14:47
fuente

1 respuesta

3

Facebook logra esto con una política de HTTP Strict Transport Security (HSTS)

Esto se entrega a través de HTTPS e informa al navegador para que "reescriba" automáticamente las solicitudes HTTP a HTTPS para ese dominio. El parámetro max-age especifica por cuánto tiempo el navegador respetará la política.

También es posible incluir su sitio en la lista de precarga de HSTS . Esta lista se envía con los navegadores. La ventaja de la lista es que el sitio no requiere que se realice la primera visita (insegura) para que se establezca la política.

    
respondido por el SilverlightFox 10.06.2015 - 14:54
fuente

Lea otras preguntas en las etiquetas