Ssl
是否可以讓 IIS 同時需要 SSL 和重定向 HTTP?
我們的應用程序目前具有到 HTTPS 的 HTTP 重定向。現在,出於安全原因,我們希望完全刪除此 HTTP 綁定,並通過在 IIS 中配置“需要 SSL”來讓我們的使用者只使用 HTTPS。
問題是我們仍然有大約 10% 的使用者使用這個 HTTP 重定向頁面,所以我們不能只關閉 HTTP 重定向。許多使用者最終可能會致電幫助台。
現在一個想法是在第一個版本中將 HTTP 重定向頁面連結到一個新頁面,其中包含有關要使用的新連結的資訊。在下一個版本中,我們可以打開完整的“需要 SSL”。
這個解決方案看起來不錯,但是將 HTTP 重定向到資訊頁面並同時需要 SSL 會更好。這可能嗎?
也非常歡迎有關此問題的任何其他建議。謝謝。
如果您打開 Require SSL,則 HTTP 請求將立即失敗。
我們在做同樣的事情之前使用的一個技巧(使用 ASP.NET)是檢查預設頁面上的協議,然後發出友好的警告,例如
If Not Request.IsSecureConnection Then loginform.visible = False ltl_warning.Text = "Non-secure connections will be disabled in one month, please use the secure address only: https://mysite.com" End If
“要求 SSL”仍然在沒有 SSL 的情況下響應,因此 MITM 攻擊仍然是可能的。
為了保護站點,您應該使用重定向,然後發送Strict-Transport-Security 標頭,以便在第一次訪問後,使用者瀏覽器不會在不使用 SSL 的情況下嘗試連接。
延伸閱讀