TOTVSTEC

Árvore de páginas

  • Criado por Usuário desconhecido (ailton.lichman), última alteração em 23 mar, 2017
Habilita a geração e possível envio do campo HTTP Strict Transport Security (HSTS) no header do protocolo HTTP e o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer.

 

Valores válidos

ValorDescrição
0 (padrão)Não gera o campo HTTP Strict Transport Security (HSTS).
1Gera o campo HTTP Strict Transport Security (HSTS).

Observações

  • O campo HTTP Strict Transport Security (HSTS) do header de resposta do protocolo HTTP, definido na RFC6797 - HTTP Strict Transport Security (HSTS), é um recurso de segurança que permite a sites informar os browsers de que aqueles somente deveriam ser acessados usando HTTPS, em vez de HTTP;
  • Esta chave somente habilita a geração do campo HSTS, mas não garante sua inclusão no header do protocolo HTTP: esta depende de uma regra de inclusão específica, definida na documentação desta chave;
  • O envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer depende de outra regra de específica, definida na documentação da desta chave;
  • Esta chave está relacionada às chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer na seção HTTP do arquivo de configuração do AppServer, e às chaves HSTSMaxAge e HSTSIncludeSubDomains na seção BALANCE_HTTP do arquivo de configuração do servidor Broker;
  • Caso o servidor Broker esteja em uso, a chave equivalente a esta, caso exista na seção BALANCE_HTTP do arquivo de configuração do servidor Broker, também deverá ser configurada, idealmente ambas com valores iguais;
  • Caso não habilitada, as chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer serão ignoradas na inclusão;
  • Caso habilitada, o campo do header HTTP será gerado no formato definido na RFC6797 - HTTP Strict Transport Security (HSTS).

Formato do campo HSTS no header do protocolo HTTP

Conforme definido na RFC6797 - HTTP Strict Transport Security (HSTS), o campo HSTS será gerado no seguinte formato:

Strict-Transport-Security: max-age=<expire-time>[; includeSubDomains]

onde:

  • max-age: valor positivo e obrigatório para o campo HSTS, definido pela chave HSTSMaxAge;

Regra de inclusão do campo HSTS no header do protocolo HTTP

Além da chave configurada na seção HTTP, a seguinte regra será observada para incluir o campo HSTS no header do protocolo HTTP:

Campo HSTS habilitado na seção HTTP do arquivo de configuração
E ( o protocolo atual da mensagem é HTTPS
OU o servidor Broker está configurado na chave BrokerServer )

Regra de envio da resposta de redirecionamento de HTTP para HTTPS pelo AppServer

Além da chave configurada na seção HTTP, a seguinte regra será observada para determinar o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer:

Campo HSTS habilitado na seção HTTP do arquivo de configuração
E o protocolo atual da mensagem é HTTP
E o servidor Broker NÃO está configurado na chave BrokerServer

Exemplo

[HTTP]
...
; HSTS
HSTSEnable = 1
HSTSMaxAge = 31536000
HSTSIncludeSubDomains = 1
; Broker Server
BrokerServer = localhost:4443
...

Abrangência

Disponível em builds à partir da versão 13.2.3.9.

Veja também

HSTSMaxAge
HSTSIncludeSubDomains
BrokerServer
RFC6797 - HTTP Strict Transport Security (HSTS)

 

  • Sem rótulos