É possível especificar o HTTP Strict Transport Security (HSTS) em cabeçalhos de resposta para que o seu servidor possa anunciar aos clientes que ele aceita apenas solicitações de HTTPS. É possível redirecionar qualquer solicitação que não seja de HTTPS para os hosts virtuais ativados para
SSL.
Antes de Iniciar
- Determine se a sua política de HSTS é aplicável apenas ao domínio ou se ela inclui subdomínios.
- Determine se o domínio pode fazer parte da lista pré-instalada de hosts HSTS conhecidos em um
cliente.
- Determine por quanto tempo o cliente pode armazenar em cache as informações que indicam que o domínio é um host HSTS.
Procedimento
- Ative a modificação dos cabeçalhos de resposta.
Remova o comentário da diretiva Módulo de Carregamento a seguir para o módulo mod_headers no
arquivo
httpd.conf:
LoadModule headers_module modules/mod_headers.so
- Defina a política de HSTS para os clientes.
No arquivo httpd.conf, faça as atualizações a seguir:
- Codifique a diretiva Cabeçalho.
O Cabeçalho de exemplo a seguir especifica opções úteis para definir sua política de HSTS. A
diretiva especifica que o servidor sempre requer conexões HTTPS. As conexões HTTPS se aplicam
tanto ao domínio quanto a qualquer subdomínio. Um cliente pode manter o domínio em sua lista
pré-instalada de domínios de HSTS para um máximo de um ano (31536000 segundos).
Header always set Strict-Transport-Security "max-age=31536000;
includeSubDomains; preload"
- Inclua a diretiva Cabeçalho em cada seção de host virtual, <virtualhost>, que está ativado para Secure Sockets Layer (SSL).
- Redirecione solicitações de hosts virtuais que não estão ativados para SSL para hosts virtuais que estão ativados.
RewriteEngine on
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
- Inclua a sub-rotina uma vez para cada seção do host virtual no arquivo httpd.conf.
- Inclua a sub-rotina uma vez no arquivo httpd.conf global, mas fora das seções do host virtual.
Resultados
Você configura o IBM® HTTP Server para que ele informe aos clientes para se conectar aos domínios e subdomínios especificados apenas sobre HTTPS. Para assegurar
que o seu IBM HTTP Server não processe solicitações que não
sejam HTTPS sobre não SSL, configure o servidor para redirecionar estas solicitações para hosts
virtuais ativados para SSL.
O que Fazer Depois
Inclua seu servidor como um front-end para o seu ambiente de servidor de aplicativos,
de forma que as conexões entre o seu servidor de aplicativos e um cliente sejam sobre HTTPS.