¿Es HSTS (encabezado Strict-Transport-Security) para HTTP o HTTPS?

11

¿El encabezado Strict-Transport-Security está diseñado para HTTP o HTTPS? Lo que quiero decir es, ¿respondo con este encabezado en una conexión HTTP que a su vez le dice al navegador que use HTTPS solo desde ese momento? O, ¿este encabezado solo se usa en una respuesta HTTPS, y le dirá al navegador que use HTTPS solo de ahí en adelante?

Estoy tratando de hacer que mi sitio redirija de HTTP a HTTPS si un cliente intenta acceder a mi sitio bajo HTTP. Por lo tanto, me interesa saber si el encabezado de seguridad-transporte-estricto se usa para este propósito, o se puede usar para este propósito.

    
pregunta Sam 10.11.2012 - 08:30
fuente

1 respuesta

8

El borrador de especificación de HSTS contiene un capítulo sobre modelo de procesamiento del servidor . Describe el comportamiento esperado para solicitudes seguras :

  

Al responder a una solicitud HTTP que se transmitió a través de un seguro      transporte, un host HSTS DEBE incluir en su mensaje de respuesta un STS      campo de cabecera […]

Y para solicitudes no seguras :

  

Si un host HSTS recibe un mensaje de solicitud HTTP a través de un no seguro      transporte, DEBERÍA enviar un mensaje de respuesta HTTP que contenga un estado      Código que indica una redirección permanente […]

Esto también se refleja en varios ejemplos de implementación de la Seguridad estricta del transporte HTTP artículo .

    
respondido por el Gumbo 10.11.2012 - 09:17
fuente

Lea otras preguntas en las etiquetas