Ssl

是否可以讓 IIS 同時需要 SSL 和重定向 HTTP?

  • July 12, 2018

我們的應用程序目前具有到 HTTPS 的 HTTP 重定向。現在,出於安全原因,我們希望完全刪除此 HTTP 綁定,並通過在 IIS 中配置“需要 SSL”來讓我們的使用者只使用 HTTPS。

問題是我們仍然有大約 10% 的使用者使用這個 HTTP 重定向頁面,所以我們不能只關閉 HTTP 重定向。許多使用者最終可能會致電幫助台。

現在一個想法是在第一個版本中將 HTTP 重定向頁面連結到一個新頁面,其中包含有關要使用的新連結的資訊。在下一個版本中,我們可以打開完整的“需要 SSL”。

這個解決方案看起來不錯,但是將 HTTP 重定向到資訊頁面並同時需要 SSL 會更好。這可能嗎?

也非常歡迎有關此問題的任何其他建議。謝謝。

如果您打開 Require SSL,則 HTTP 請求將立即失敗。

我們在做同樣的事情之前使用的一個技巧(使用 ASP.NET)是檢查預設頁面上的協議,然後發出友好的警告,例如

If Not Request.IsSecureConnection Then
   loginform.visible = False
   ltl_warning.Text = "Non-secure connections will be disabled in one month, please use the secure address only: https://mysite.com"
End If

“要求 SSL”仍然在沒有 SSL 的情況下響應,因此 MITM 攻擊仍然是可能的。

為了保護站點,您應該使用重定向,然後發送Strict-Transport-Security 標頭,以便在第一次訪問後,使用者瀏覽器不會在不使用 SSL 的情況下嘗試連接。

延伸閱讀

引用自:https://serverfault.com/questions/657856