Configurando o HTTP Strict Transport Security (HSTS)

É possível especificar o HTTP Strict Transport Security (HSTS) em cabeçalhos de resposta para que o seu servidor possa anunciar aos clientes que ele aceita apenas solicitações de HTTPS. É possível redirecionar qualquer solicitação que não seja de HTTPS para os hosts virtuais ativados para SSL.

Antes de Iniciar

  • Determine se a sua política de HSTS é aplicável apenas ao domínio ou se ela inclui subdomínios.
  • Determine se o domínio pode fazer parte da lista pré-instalada de hosts HSTS conhecidos em um cliente.
  • Determine por quanto tempo o cliente pode armazenar em cache as informações que indicam que o domínio é um host HSTS.

Procedimento

  1. Ative a modificação dos cabeçalhos de resposta.
    Remova o comentário da diretiva Módulo de Carregamento a seguir para o módulo mod_headers no arquivo httpd.conf:
    LoadModule headers_module modules/mod_headers.so
  2. Defina a política de HSTS para os clientes.

    No arquivo httpd.conf, faça as atualizações a seguir:

    1. Codifique a diretiva Cabeçalho.
      O Cabeçalho de exemplo a seguir especifica opções úteis para definir sua política de HSTS. A diretiva especifica que o servidor sempre requer conexões HTTPS. As conexões HTTPS se aplicam tanto ao domínio quanto a qualquer subdomínio. Um cliente pode manter o domínio em sua lista pré-instalada de domínios de HSTS para um máximo de um ano (31536000 segundos).
      Header always set Strict-Transport-Security "max-age=31536000;
            includeSubDomains; preload"
    2. Inclua a diretiva Cabeçalho em cada seção de host virtual, <virtualhost>, que está ativado para Secure Sockets Layer (SSL).
  3. Redirecione solicitações de hosts virtuais que não estão ativados para SSL para hosts virtuais que estão ativados.
    RewriteEngine on 
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
    • Inclua a sub-rotina uma vez para cada seção do host virtual no arquivo httpd.conf.
    • Inclua a sub-rotina uma vez no arquivo httpd.conf global, mas fora das seções do host virtual.

Resultados

Você configura o IBM® HTTP Server para que ele informe aos clientes para se conectar aos domínios e subdomínios especificados apenas sobre HTTPS. Para assegurar que o seu IBM HTTP Server não processe solicitações que não sejam HTTPS sobre não SSL, configure o servidor para redirecionar estas solicitações para hosts virtuais ativados para SSL.

O que Fazer Depois

Inclua seu servidor como um front-end para o seu ambiente de servidor de aplicativos, de forma que as conexões entre o seu servidor de aplicativos e um cliente sejam sobre HTTPS.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_hsts
Nome do arquivo: tihs_hsts.html