Comprobando el estado HSTS de los dominios

18

El navegador Google Chrome ofrece una forma rápida de verificar el estado de HSTS (Seguridad de transporte estricta de HTTP) de un dominio a través de la página chrome://net-internals/#hsts (sección Dominio de consulta ).

El resultado de la consulta se ve, por ejemplo. de esta manera:

Found:
domain: owasp.org
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains: 
static_pkp_include_subdomains: 
static_sts_observed: 
static_pkp_observed: 
static_spki_hashes: 
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_pkp_include_subdomains: false
dynamic_sts_observed: 1409173001.03746
dynamic_pkp_observed: 1409173001.03746
dynamic_spki_hashes: 

¿Qué significan estas líneas? ¿Está habilitado el modo HSTS o no? ¿Cuál es la diferencia entre las entradas dynamic_ y static_ del resultado?

    
pregunta Marek Puchalski 03.10.2014 - 11:22
fuente

3 respuestas

12

Si alguna de las líneas static_upgrade_mode: o dynamic_upgrade_mode: se establece en STRICT , entonces se habilita HSTS.

Dinámico

Dynamic significa que el navegador ha recibido instrucciones para habilitar HSTS mediante un encabezado de respuesta HTTP (servido sobre TLS) similar al siguiente:

Strict-Transport-Security: max-age=157680000; includeSubDomains;

Esto es vulnerable a un ataque en el que la primera vez que el navegador solicita el dominio con http:// (no https:// ) un adversario intercepta la comunicación.

Estático

Para superar esta debilidad, tenemos el modo static , que permite codificar registros HSTS directamente en la fuente del navegador. El encabezado se cambia para indicar la intención del administrador:

Strict-Transport-Security: max-age=157680000; includeSubDomains; preload

Note la inclusión de preload al final. El dominio se enviado para su revisión. Si se aprueba, se agrega a la lista de Chromium que también se incluye en las listas de Firefox, Safari e IE 11 + Edge.

    
respondido por el Arran Schlosberg 01.09.2015 - 09:02
fuente
4

Cuando consulta a chrome://net-internals/#hsts , solo consulta los sitios HSTS almacenados que ha visitado con Chrome. La parte static_ y dynamic_ muestra los métodos para habilitar STS para la comunicación.

El resultado muestra que no hay métodos static definidos, solo existen métodos dynamic . pop y sts en el resultado representan fijación de clave pública y seguridad de transporte estricta de manera repetitiva. Entonces, dynamic_pkp_observed y dynamic_sts_obeserved es el tiempo para STS que está habilitado para el doamin. El STS está permitido en ese dominio pero no para subdominios.

Sería mejor usar "rizo" para verificar los pts.
Por ejemplo:
curl -siL "owasp.org" | grep "Strict" (-L para redirigir a https)

Si el dominio está configurado para usar STS, en la respuesta del servidor verá el encabezado Strict-Transport-Security: max-age = valor
Por eso me aferro a Strict .

    
respondido por el P4cK3tHuNt3R 03.10.2014 - 14:02
fuente
1

static significa navegador (en este caso Chrome) Sitios HSTS precargados
dynamic significa sitios seleccionados. up "on the go" o agregó manualmente

pkp significa Public Key Pinning , que es desde Chrome 69 obsoleto
spki_hashes significa SubjectPublicKeyInfo hashes

_include_subdomains significa si incluir subdominios en la solicitud
_observed es la hora de UNIX en la que el navegador primero observó la solicitud
_expiry es el hora UNIX en el que el navegador olvidará la solicitud

    
respondido por el elig 21.10.2018 - 23:08
fuente

Lea otras preguntas en las etiquetas