HSTS ohne funktion?

ottosykora · 09. Feb 2018

Habe einen virtuellen Host angelegt, dazu domain, Certificat etc. Alles OK.

In dem Virtuellen Host habe ich HSTS aktiviert. Ich dachte das würde dem Browser sagen es soll nur https verwenden.

Allerdings macht es den Browsern kein Eindruck, Firefox, Opera, Edge , alle nehmen einfach http es sei denn man gibt explizit https in der url an.

Ist das HSTS irgednwie defekt oder so was?

Anzeige · 09. Feb 2018

Hallo ottosykora,

Bücher und Hardware zum Thema gibt es bei Amazon: HSTS ohne funktion?

Fusion · 09. Feb 2018

Nicht ganz.

HSTS soll für einen gesetzten Zeitraum verhindern, dass der Browser auf nicht verschlüsselte Verbindungen wechselt bzw. Links in http auf https umbiegt bevor die Anfrage gestartet wird.
Es sorg aber nicht dafür. dass beim ersten Aufruf eine Umleitung auf https stattfindet.
Nur wenn der erste Aufruf per https erfolgt wird er dies dann auch weiterhin so tun, bis die vom Webserver gesetzte Zeit abgelaufen ist.

Edit:
Nachtrag. Könnte aber auch ein Bug sein in der webserver config.
Weil, nach Nachlesen, sollte der Webserver auch bei der ersten http Anfrage dem Browser schon mitteilen dass eine Seite nur per SSL/TLS aufgerufen werden sollte.
Vielleicht ein Bug in den nginx Directives (includeSubDomains z.B.) oder in die Richtung.
Aber ich habs mir jetzt nicht angesehen.