Come posso aggirare HSTS su un sottodominio intranet?


1

Quindi, ho il controllo su un piccolo server web che controlla un sottodominio di un dominio intranet; il dominio ha attivato HSTS, quindi non riesco a collegarmi al mio sottodominio tramite HTTP; Inoltre, non posso utilizzare certificati autofirmati e HTTPS. Ho pensato di usare Let's Encrypt per ottenere un certificato adeguato, ma a causa del fatto che il dominio è inaccessibile da internet, non posso farlo neanche io.

C'è un modo per aggirare HSTS per connettersi al mio server attraverso un browser? (Sto provando a creare un'istanza Jupyter, se questo è importante)


1
L'HSTS non ha alcun effetto sui sottodomini a meno che non si aggiunga esplicitamente includeSubdomains
Bob

Bene, apparentemente, è incluso; Ho solo il controllo del sottodominio, quindi non ho configurato HSTS
Akiiino

Sfortunatamente, non riesci a configurare HTTPS valido o a rimuovere l'amministratore del dominio genitore includeSubdomains (e in attesa che la precedente voce HSTS scada se non sei l'unico utente).
Bob

Risposte:


1

In realtà, questo è l'indirizzo nella specifica per HSTS, RFC 6797 (sottolineatura mia):

11.3. Utilizzo di HSTS in combinazione con certificati a chiave pubblica autofirmati

Se tutte e quattro le seguenti condizioni sono vere ...

o un sito web / organizzazione / impresa sta generando la propria sicurezza   trasportare certificati a chiave pubblica per siti web, e

[...]

... allora le connessioni sicure a quel sito falliranno, secondo l'HSTS   design. Questo è per proteggere contro vari attacchi attivi, come   discusso sopra.

[...]

Tuttavia, se detta organizzazione desidera utilizzare la propria CA, e   certificati autofirmati, di concerto con HSTS, possono farlo da distribuire il certificato CA radice ai browser degli utenti o agli archivi dei certificati radice della CA del sistema operativo . Può anche, in   aggiunta o invece, distribuire ai browser degli utenti il   certificato (i) dell'entità finale per host specifici .

Quindi devi fare uno di questi:

  • firmare il certificato autogenerato con un certificato CA (che è stato anche generato) e installare il certificato CA nel browser (o nell'archivio del sistema operativo, se il browser lo utilizza)
  • installare il certificato autofirmato nel browser o nel negozio del sistema operativo

Come installare il certificato dipende dal browser; ci sono più risposte qui su come fare questo.

In realtà, questo è quello che dovresti fare anche senza HSTS, in quanto previene i soliti avvisi di certificato. Tuttavia, con HSTS è in realtà l'unico modo.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.