Configurações de HSTS para um site <hsts>
Visão geral
O elemento <hsts> do elemento <site> contém atributos que permitem definir configurações de HSTS (Segurança de Transporte Estrito HTTP) para um site no IIS 10.0 versão 1709 e posterior.
Observação
Se o elemento <hsts> estiver configurado na seção <siteDefaults> e na seção <site> de um site específico, a configuração na seção <site> será usada para esse site.
Compatibilidade
| Versão | Observações |
|---|---|
| IIS 10.0 versão 1709 | O elemento <hsts> do elemento <site> foi introduzido no IIS 10.0 versão 1709. |
| IIS 10.0 | N/D |
| IIS 8.5 | N/D |
| IIS 8.0 | N/D |
| IIS 7.5 | N/D |
| IIS 7.0 | N/D |
| IIS 6,0 | N/D |
Instalação
O elemento <hsts> do elemento <site> está incluído na instalação padrão do IIS 10.0 versão 1709 e posteriores.
Instruções
Não há nenhuma interface do usuário que permita configurar o elemento <hsts> do elemento <site> para o IIS 10.0 versão 1709. Para obter exemplos de como configurar o elemento <hsts> do elemento <site> programaticamente, confira a seção Exemplo de Código deste documento.
Configuração
Atributos
| Atributo | Descrição |
|---|---|
enabled |
Atributo booliano opcional. Especifica se o HSTS está habilitado (true) ou desabilitado (false) para um site. Se o HSTS estiver habilitado, o cabeçalho de resposta HTTP Strict-Transport-Security será adicionado quando o IIS responder a uma solicitação HTTPS ao site. O valor padrão é false. |
max-age |
Atributo uint opcional. Especifica a diretiva max-age no valor do campo do cabeçalho de resposta HTTP Strict-Transport-Security. O valor padrão é 0. |
includeSubDomains |
Atributo booliano opcional. Especifica se a diretiva includeSubDomains está incluída no valor do campo do cabeçalho de resposta HTTP Strict-Transport-Security. Observação: habilite esse atributo somente se todos os subdomínios de fato oferecerem serviço baseado em HTTP por TLS/SSL. O valor padrão é false. |
preload |
Atributo booliano opcional. Especifica se a diretiva de preload está incluída no valor do campo do cabeçalho de resposta HTTP Strict-Transport-Security. Observação: habilite esse atributo somente se o domínio do site tiver sido enviado para inclusão na lista de pré-carregamento do HSTS. O valor padrão é false. |
redirectHttpToHttps |
Atributo booliano opcional. Especifica se o redirecionamento HTTP para HTTPS está habilitado (true) ou desabilitado (false) para um site. Observação: habilitar redirectHttpToHttps impõe o redirecionamento de HTTP para HTTPS no nível do site. Quando o IIS redireciona uma solicitação HTTP, ele substitui o esquema de URI por "https" e ignora o componente porta. Verifique se o destino de redirecionamento fornece serviço baseado em HTTP por TLS/SSL na porta padrão 443. O valor padrão é false. |
Elementos filho
Nenhum.
Exemplo de configuração
O exemplo de configuração a seguir mostra um site chamado Contoso que tem o HSTS habilitado com associações HTTP e HTTPS. O atributo de max-age é definido como 31536000 segundos (um ano) para que os agentes do usuário considerem o host como um host HSTS conhecido dentro de um ano após a recepção do campo de cabeçalho Strict-Transport-Security. O atributo includeSubDomains é definido como true para especificar que a política HSTS se aplica a esse host HSTS (contoso.com), bem como a qualquer subdomínio (por exemplo, www.contoso.com ou marketing.contoso.com). Por fim, o atributo redirectHttpToHttps é definido como true para que todas as solicitações HTTP para o site sejam redirecionadas para HTTPS.
<site name="Contoso" id="1">
<application path="/" applicationPool="Contoso">
<virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:contoso.com" />
<binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
</bindings>
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>
Exemplo de código
Os exemplos de código a seguir habilitam o HSTS para um site chamado Contoso com associações HTTP e HTTPS. O exemplo define o atributo max-age como 31536000 segundos (um ano) e habilita os atributos includeSubDomains e redirectHttpToHttps.
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Observação
Defina o parâmetro commit para apphost quando usar AppCmd.exe para definir essas configurações. Isso confirma as definições de configuração para a seção de local apropriado no arquivo applicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using(ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
hstsElement["enabled"] = true;
hstsElement["max-age"] = 31536000;
hstsElement["includeSubDomains"] = true;
hstsElement["redirectHttpToHttps"] = true;
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
hstsElement("enabled") = True
hstsElement("max-age") = 31536000
hstsElement("includeSubDomains") = True
hstsElement("redirectHttpToHttps") = True
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch)
{
for (var i = 0; i < collection.Count; i++)
{
var element = collection.Item(i);
if (element.Name == elementTagName)
{
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
{
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null)
{
value = value.toString();
}
if (value != valuesToMatch[iVal + 1])
{
matches = false;
break;
}
}
if (matches)
{
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))
If siteElementPos = -1 Then
WScript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
Cmdlets do PowerShell IISAdministration
Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay
$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true
Stop-IISCommitDelay
Remove-Module IISAdministration