By Edward (Own work) [Public domain], via Wikimedia Commons
Interessant sind die Implikationen der Preload Liste: sobald dort die betreffende Domäne dort gelistet wird, rufen alle gängigen Browser Sub-Domains über https auf, unabhängig davon ob die dahinter liegenden Applikationen dies unterstützen oder nicht. Google beispielsweise, schafft auf diese Art sichere Namensräume, unter der eigenen Top Level Domain „.google“, da diese sich in der Preload Liste befindet, die von den meisten Browserherstellern verwendet wird.
SharePoint unterstützt HSTS seit der Version 2016 und wird auf Web Applikations-Ebene konfiguriert. Leider unterstützt SharePoint die Angabe des Wertes „includeSubdomains“ im Header Feld „Strict-Transport-Security“ nicht, dadurch sind Sub-Domains weiterhin unverschlüsselt aufrufbar.
Dies ist allerdings vernachlässigbar, da die präferierte Architektur Websitesammlungen mit Hostnamen (host named site collections) ist, was wiederum bedeutet, dass die Websitesammlungen innerhalb der mit HSTS konfigurierten Web Applikation immer verschlüsselt aufgerufen werden.
PowerShell Skript um HSTS für eine Web Applikation zu konfigurieren:
$wa = Get-SPWebApplication https://www.contoso.com/
$wa.HttpStrictTransportSecuritySettings.IsEnabled = $true
$wa.Update()
Response header der Applikation nach erfolgter Konfiguration:
Die im Browser Chrome gespeicherten Werte (chrome://net-internals/#hsts) für die Domäne www.contoso.com:
Quellen:
– HTTP Strict Transport Security (HSTS) Spezifikation
– Beispiel HSTS Preload Liste