nicht angemeldet
JuliusHallo Siegbert,
ist HTTPS ohne automatische Weiterleitung überall auf einer (Sub-)Domain und HTTP Strict Transport Security (HSTS) relativ sinnlos, weil du praktisch den „Downgrade“ auf eine unverschlüsselte Verbindung nicht verhinderst.
Die automatische Weiterleitung kann in die Hose gehen – je nachdem, auf wie viele Besucher mit älteren Browsern, ich denke hier speziell an Telefone, man verzichten möchte.
Dann ist das halt so. Sichere Atomkraftwerke gibt es auch nicht.
Beispielsweise wird der Betreiber eines Online-Shops, der einen nennenswerten Anteil älterer Browser eine eigene IP benötigen, wenn er verhindern will, dass wegen SNI Nutzer des IE unter Windows XP und Nutzer von Android 2.x ausgesperrt werden.
Ich halte es da lieber mit dem Senden von HSTS über die unverschlüsselte Verbindung;
Nein, das ist falsch. Laut RFC 6797 ist das Senden des HSTS-Headers über unverschlüsselte Verbindungen verboten (Seite 17):
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.
weiterhin heißt es auf Seite 18:
If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s).
Zusammengefasst bedeutet das also, dass...
- Kein HSTS-Header darf über unverschlüsselte Verbindungen gesendet werden
- Browser müssen über unverschlüsselte Verbindungen gesendete HSTS-Header ignorieren
In der Praxis ist das jedoch zweifelsohne Abwägungssache im Einzelfall.
Nein, es ist schlicht falsch, weil hier die maßgebliche Norm für HSTS missachtet wird.
Gruß
Julius