Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- iis:hsts [13.01.2020 20:57] – [IIS 7/8 pomocí GUI] Ladislav Vojtíšek
+++ iis:hsts [Neznámé datum] (aktuální) – upraveno mimo DokuWiki (Neznámé datum) 127.0.0.1
@@ Řádek 1: / Řádek 1: @@
-====== Konfigurace HSTS na IIS ======
+====== Konfigurace HSTS a automatický redirect na HTTPS v IIS ======
-HTTP Strict Transport Security (HSTS) je vlastnost webové stránky sdělit prohlížeči, že má se serverem komunikovat pouze přes zabezpečený protokol HTTPS a nikdy pomocí nezabezpečeného HTTP. Tímto nastavením je řešena zejména situace, kdy je uživatel přesměrováván z protokolu HTTP na zabezpečený HTTPS a právě v tomto okamžiku může být útočníkem přesměrován na stránku s podvrženýnm obsahem. HSTS je realizována HTTP záhlavím, které prohlížeči říká, že má používat pouze HTTPS a jak dlouho. Společně s HSTS je tedy nutné nastavit také [[iis/httpredirect|přesměrování HTTP požadavku na HTTPS]].\\
-Konfiguraci je možné provést dvěma způsoby:
-===== Úpravou souboru web.config =====
+HTTP Strict Transport Security (HSTS) je vlastnost webové stránky sdělit prohlížeči, že má se serverem komunikovat pouze přes zabezpečený protokol HTTPS a nikdy pomocí nezabezpečeného HTTP. Tímto nastavením je řešena zejména situace, kdy je uživatel přesměrováván z protokolu HTTP na zabezpečený HTTPS a právě v tomto okamžiku může být útočníkem přesměrován na stránku s podvrženýnm obsahem. HSTS je realizována HTTP záhlavím, které prohlížeči říká, že má používat pouze HTTPS a jak dlouho. Společně s HSTS je tedy nutné nastavit také přesměrování HTTP požadavku na HTTPS.\\
+\\
+Konfiguraci je možné provést úpravou souboru web.config. Na IIS v. 7+ je nutné mít nainstalovaný modul [[iis/urlrewrite|URL Rewrite]] a do souboru web.config dopsat příslušnou část níže uvedené konfigurace. Tato konfigurace zajistí jak odesílání potřebných HTTP záhlaví, tak přesměrování HTTP požadavků na HTTPS.
   <?xml version="1.0" encoding="UTF-8"?>
   <configuration>
-     <system.webServer>
+       <system.webServer>
-        <rewrite>
+            <rewrite>
-            <rules>
+                <rules>
-                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
+                    <rule name="HTTP to HTTPS redirect" stopProcessing="true">
-                    <match url="(.*)" />
+                        <match url="(.*)" />
-                    <conditions>
+                        <conditions>
-                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
+                            <add input="{HTTPS}" pattern="off" ignoreCase="true" />
-                    </conditions>
+                        </conditions>
-                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
+                        <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
-                        redirectType="Permanent" />
+                            redirectType="Permanent" />
-                </rule>
+                    </rule>
-            </rules>
+                </rules>
-            <outboundRules>
+                <outboundRules>
-                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
+                    <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
-                    <match serverVariable="RESPONSE_Strict_Transport_Security"
+                        <match serverVariable="RESPONSE_Strict_Transport_Security"
-                        pattern=".*" />
+                            pattern=".*" />
-                    <conditions>
+                        <conditions>
-                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
+                            <add input="{HTTPS}" pattern="on" ignoreCase="true" />
-                    </conditions>
+                        </conditions>
-                    <action type="Rewrite" value="max-age=63072000; includeSubDomains; preload" />
+                        <action type="Rewrite" value="max-age=63072000; includeSubDomains; preload" />
-                </rule>
+                    </rule>
-            </outboundRules>
+                </outboundRules>
-        </rewrite>
+            </rewrite>
-     </system.webServer>
+       </system.webServer>
   </configuration>
+\\
-=====Nastavení pomocí GUI=====
+\\
-====IIS v. 7/8====
-Implementace HSTS na IIS v. 7/8 se realizuje přidáním specifických záhlaví, volitelně s přesměrováním.
-Přidání záhlaví:
-  * Spusťte správce služby IIS.
-  * Vyberte svůj web
-  * Vyberte ''HTTP Response Headers''
-  * V části ''Actions'' klikněte na ''Add''
-  * V dialogu ''Add Custom HTTP Response Header'' přidejte následující hodnoty:
-    * Jméno: ''Strict-Transport-Security''
-    * Hodnota: ''max-age=15552001; includeSubDomains; preload''