Compartilhar via

Suporte ao HSTS (HTTP Strict Transport Security) do IIS 10.0 versão 1709

  • Artigo

por Yanbing Shi

No IIS 10.0 versão 1709, o administrador tem a opção de habilitar o redirecionamento HSTS e HTTP para HTTPS no nível do site.

Compatibilidade

Versão Observações
IIS 10.0 versão 1709 Os recursos descritos neste artigo foram introduzidos no IIS 10.0 versão 1709
IIS 10.0 e versões anteriores Não havia suporte para os recursos descritos neste artigo antes do IIS 10.0 versão 1709

Segurança de Transporte Estrita de HTTP (HSTS)

O protocolo HSTS (HTTP Strict Transport Security), especificado no RFC 6797, permite que um site se declare como um host seguro e informe aos navegadores que ele deve ser contatado apenas por meio de conexões HTTPS. O HSTS é um aprimoramento de segurança de aceitação que impõe o HTTPS e reduz significativamente a capacidade de ataques do tipo man-in-the-middle para interceptar solicitações e respostas entre servidores e clientes.

Ele impõe o uso do HTTPS por meio de uma política que exige suporte de servidores Web e navegadores. Um host Web habilitado para HSTS pode incluir um cabeçalho de resposta HTTP especial “STS” (Strict-Transport-Security), acompanhado de uma diretiva “max-age” em uma resposta HTTPS para solicitar que o navegador use o HTTPS para comunicação adicional. O navegador recebe o cabeçalho e memoriza a política HSTS para o número de segundos especificado pela diretiva “max-age”. Nesse período, se um usuário tentar visitar o mesmo site, mas digitar http:// ou omitir o esquema, o navegador automaticamente transformará o link não seguro no seguro (https://) e fará uma conexão HTTPS com o servidor. Depois que uma resposta é recebida por meio de HTTPS, o navegador também impede que o usuário “clique” em qualquer aviso de segurança (por exemplo, um aviso sobre um certificado de servidor inválido). Para aproveitar o HSTS, o navegador precisa ver o cabeçalho HSTS pelo menos uma vez. Para proteger o usuário na primeira conexão com um determinado domínio, o HSTS tem um mecanismo separado para pré-carregar uma lista de domínios registrados para o navegador pronto para uso.

Desafios na habilitação do HSTS antes do IIS 10.0 versão 1709

Antes do IIS 10.0 versão 1709, habilitar o HSTS em um servidor IIS exigia uma configuração complexa.

Duas soluções para habilitar o HSTS antes do IIS 10.0 versão 1709 são fornecidas para um exemplo de cenário: o administrador da Web deseja habilitar o HSTS para um domínio contoso.com que aceita conexões HTTP e HTTPS e redirecionar todo o tráfego HTTP para HTTPS. O redirecionamento nesse cenário não é seguro por natureza, mas ainda é um padrão seguido por muitos sites que dão suporte a HTTPS. O motivo fundamental para ainda ouvir o HTTP é que o site não tem controle sobre como os visitantes podem tentar conectá-lo: via HTTPS ou apenas via HTTP sem formatação. Habilitar o HSTS reduz consideravelmente o número de redirecionamentos HTTP para HTTPS não seguros, com a condição de que o navegador veja o cabeçalho STS durante a primeira conexão HTTPS bem-sucedida (por meio de visita direta ou redirecionamento).

Solução 1: Módulo de Redirecionamento HTTP + cabeçalhos personalizados

O redirecionamento de todo o tráfego HTTP para HTTPS pode ser feito com o Módulo de Redirecionamento HTTP com dois sites separados, um para HTTP e outro para HTTPS, a fim de evitar um loop de redirecionamento infinito.

<sites>
    <site name="Contoso-http" id="1" serverAutoStart="true">
        <application path="/" applicationPool="Contoso-http">
            <virtualDirectory path="/" physicalPath="C:\inetpub\Contoso-http" />
        </application>
        <bindings>
            <binding protocol="http" bindingInformation="*:80:contoso.com" />
        </bindings>
    </site>
    <site name="Contoso-https" id="2" serverAutoStart="true">
        <application path="/" applicationPool="Contoso-https">
            <virtualDirectory path="/" physicalPath="C:\inetpub\Contoso-https" />
        </application>
        <bindings>
            <binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
        </bindings>
    </site>
    <siteDefaults>
        <logFile logFormat="W3C" directory="%SystemDrive%\inetpub\logs\LogFiles" />
        <traceFailedRequestsLogging directory="%SystemDrive%\inetpub\logs\FailedReqLogFiles" />
    </siteDefaults>
    <applicationDefaults applicationPool="DefaultAppPool" />
    <virtualDirectoryDefaults allowSubDirConfig="true" />
</sites>

Uma regra de redirecionamento é configurada no web.config do site HTTP para rotear todo o tráfego para o site HTTPS e, posteriormente, fornece o conteúdo.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpRedirect enabled="true" destination="https://contoso.com" httpResponseStatus="Permanent" />
    </system.webServer>
</configuration>

O cabeçalho STS pode ser adicionado por meio de cabeçalhos personalizados, configurando o web.config do site HTTPS.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name="Strict-Transport-Security" value="max-age=31536000" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

Solução 2: Módulo de Reescrita de URL

Uma solução alternativa é instalar o Módulo de Reescrita de URL e configurar regras de reescrita para um site individual com associações HTTP e HTTPS. O redirecionamento HTTP para HTTPS pode ser especificado por uma regra de entrada, ao mesmo tempo em que a adição do cabeçalho STS às respostas HTTPS pode ser obtida por uma regra de saída.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add the STS header in HTTPS responses">
                    <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

Suporte ao HSTS nativo do IIS 10.0 versão 1709

Com o lançamento do IIS 10.0 versão 1709, o HSTS já tem suporte nativo. A configuração para habilitar o HSTS foi consideravelmente simplificada: o HSTS pode ser habilitado no nível do site, configurando os atributos do elemento <hsts> em cada elemento <site>. Encontre mais detalhes na referência de configuração do HSTS Configurações do HSTS para um site <HSTS>.

O exemplo de cenário pode ser simplesmente alcançado com a configuração dos atributos enabled, max-age e redirectHttpToHttps do elemento <hsts> do site usando os cmdlets do PowerShell do IISAdministration seguindo o tutorial.

Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay

$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true

Stop-IISCommitDelay
Remove-Module IISAdministration

As configurações do HSTS para o site são mostradas abaixo:

<site name="Contoso" id="1">
    <application path="/" applicationPool="Contoso">
        <virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
    </application>
    <bindings>
        <binding protocol="http" bindingInformation="*:80:contoso.com" />
        <binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
    </bindings>
    <hsts enabled="true" max-age="31536000" redirectHttpToHttps="true" />
</site>

O suporte nativo do HSTS também pode ser usado junto com o Módulo de Redirecionamento HTTP em cenários mais complexos.

Por exemplo, um site de contoso.com redireciona todo o tráfego para o subdomínio www.contoso.com e os dois sites aceitam conexões HTTP e HTTPS. Esse será um cenário típico se for preferível que o site tenha um só endereço canônico. Recomendamos que o HSTS seja habilitado para o domínio raiz e o subdomínio, pois os usuários podem visitar diretamente um deles via HTTP ou HTTPS. Habilitar o atributo includeSubDomains do elemento <hsts> do domínio raiz aprimora ainda mais a cobertura da política do HSTS para todos os respectivos subdomínios.

<sites>
    <site name="Contoso" id="1">
        <application path="/" applicationPool="Contoso">
            <virtualDirectory path="/" physicalPath="C:\inetpub\Contoso" />
        </application>
        <bindings>
            <binding protocol="http" bindingInformation="*:80:contoso.com" />
            <binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
        </bindings>
        <hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
    </site>
    <site name="Contoso-www" id="2">
        <application path="/" applicationPool="Contoso-www">
            <virtualDirectory path="/" physicalPath="C:\inetpub\Contoso-www" />
        </application>
        <bindings>
            <binding protocol="http" bindingInformation="*:80:www.contoso.com" />
            <binding protocol="https" bindingInformation="*:443:www.contoso.com" sslFlags="0" />
        </bindings>
        <hsts enabled="true" max-age="31536000" redirectHttpToHttps="true" />
    </site>
    <siteDefaults>
        <logFile logFormat="W3C" directory="%SystemDrive%\inetpub\logs\LogFiles" />
        <traceFailedRequestsLogging directory="%SystemDrive%\inetpub\logs\FailedReqLogFiles" />
    </siteDefaults>
    <applicationDefaults applicationPool="DefaultAppPool" />
    <virtualDirectoryDefaults allowSubDirConfig="true" />
</sites>

Além disso, o redirecionamento do domínio raiz para o subdomínio pode ser configurado por meio do elemento <httpRedirect> do web.config do site de domínio raiz. Com essa configuração, uma solicitação HTTP para contoso.com primeiro será redirecionada para HTTPS e, em seguida, a solicitação HTTPS para o mesmo site será redirecionada para www.contoso.com, com o cabeçalho STS adicionado na resposta.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpRedirect enabled="true" destination="https://www.contoso.com" httpResponseStatus="Permanent" />
    </system.webServer>
</configuration>

Os exemplos de configurações acima também se aplicam ao cenário de redirecionamento do tráfego de um site de origem para um site de destino que não é um subdomínio do site de origem, com uma pequena modificação de configuração de desabilitação de includeSubDomains no site de origem.