Quiero proteger a los clientes del ataque sslstrip. Se debe utilizar HSTS. Pero HSTS no protege la primera visita del cliente al servidor. Así que quiero incluir la política de HSTS en las respuestas de dns y enviar a los clientes que lo soliciten. ¿Es posible? Si es posible, ¿cómo implementarlo?
No con los estándares y normas actuales, a mi leal saber y entender.
La consulta de DNS más obvia es el registro A y no veo una forma directa de incorporar HSTS allí, a menos que se incluya en la sección de información adicional de la Respuesta de DNS.
La otra alternativa (y el bit de DNS más usado / abusado) es el registro TXT.
Dado que no existe un estándar, de facto o de otro tipo, necesita una implementación generalizada del navegador antes de que pueda funcionar. No sé si hay suficiente motivación para hacer esto, debido a la opción disponible de Carga previa de HSTS (consulte aquí, aquí y here ). Es bastante fácil solicitar la precarga de su dominio en los principales navegadores. También es fácil romper sus aplicaciones si pierde la renovación / obtención de certificados para cualquiera de su infraestructura - después de ingresa a la lista (sí, parece que ocurre con más frecuencia de lo que creemos).
Podríamos argumentar que conectarlo a DNS es mejor la instalación de tuberías (lo que brinda la primera oportunidad), pero dadas las dificultades que DNS ha tenido a lo largo de los años en sus intentos de seguridad (DNSSEC en particular), tiene sus problemas.
Por ahora, HSTS-PreLoad es la solución práctica, disponible y ampliamente implementada, si no perfecta; no DNS.