Configurando o HTTP Strict Transport Security (HSTS)
É possível especificar o HTTP Strict Transport Security (HSTS) em cabeçalhos de resposta para que o seu servidor anuncie para os clientes que ele aceita apenas solicitações de HTTPS. É possível redirecionar qualquer solicitação que não seja de HTTPS para os hosts virtuais ativados para SSL.
Antes de Começar
- Se o SSL/TLS for finalizado por um dispositivo antes do IBM HTTP Server (IHS) e se o IBM HTTP Server não estiver configurado para o SSL/TLS, o procedimento a seguir não se aplicará. Em vez disso, deve-se configurar o HTTP Strict Transport Security no dispositivo que finalizou o SSL/TLS. Para obter mais informações sobre o HTTP Strict Transport Security, consulte RFC 6797 seção 7.
- Determine se a sua política de HSTS é aplicável apenas ao domínio ou se ela inclui subdomínios.
- Determine se o domínio pode fazer parte da lista pré-instalada de hosts HSTS conhecidos em um cliente.
- Determine por quanto tempo o cliente pode armazenar em cache as informações que indicam que o domínio é um host HSTS.
- Restrição: o servidor não inclui os cabeçalhos do HSTS em respostas HTTP 304 (não modificadas). Essas respostas são usadas para validar a criação recente do cache. Um cliente não verá os cabeçalhos do HSTS até que ele acesse pelo menos um recurso não armazenado em cache (ou antigo) no servidor.
- O HSTS funcionará apenas se o cliente estiver se conectando com as portas padrão para HTTP (porta 80) e HTTPS
(porta 443). Se você estiver usando portas não padrão em sua configuração do IBM HTTP Server, precisará
usar um dispositivo de front-end adicional que faça uso das portas padrão. Coloque o dispositivo de front-end
adicional entre o seu IBM HTTP Server e o cliente. Exemplo
client ----> load balancer (ports 80 and 443) ----> IHS (other ports)