Habilita a geração e possível envio do campo
HTTP Strict Transport Security (HSTS) no header do protocolo HTTP e o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer.
Valores válidos
| Valor | Descrição |
|---|---|
0 (padrão) | Não gera o campo HTTP Strict Transport Security (HSTS). |
1 | Gera o campo HTTP Strict Transport Security (HSTS). |
Observações
- O campo
HTTP Strict Transport Security (HSTS)do header de resposta do protocoloHTTP, definido na RFC6797 - HTTP Strict Transport Security (HSTS), é um recurso de segurança que permite a sites informar os browsers de que aqueles somente deveriam ser acessados usandoHTTPS, em vez deHTTP; - Esta chave somente habilita a geração do campo
HSTS, mas não garante sua inclusão no header do protocoloHTTP: esta depende de uma regra de inclusão específica, definida na documentação desta chave; - O envio ou não da resposta de redirecionamento de
HTTPparaHTTPSpeloAppServerdepende de outra regra de específica, definida na documentação da desta chave;
- Esta chave está relacionada às chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer na seção
HTTPdo arquivo de configuração doAppServer, e às chaves HSTSMaxAge e HSTSIncludeSubDomains na seçãoBALANCE_HTTPdo arquivo de configuração do servidorBroker; - Caso o servidor
Brokeresteja em uso, a chave equivalente a esta, caso exista na seçãoBALANCE_HTTPdo arquivo de configuração do servidorBroker,também deverá ser configurada, idealmente ambas com valores iguais;
- Caso não habilitada, as chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer serão ignoradas na inclusão;
- Caso habilitada, o campo do header
HTTPserá gerado no formato definido na RFC6797 - HTTP Strict Transport Security (HSTS).
Formato do campo HSTS no header do protocolo HTTP
Conforme definido na RFC6797 - HTTP Strict Transport Security (HSTS), o campo HSTS será gerado no seguinte formato:
Strict-Transport-Security: max-age=<expire-time>[; includeSubDomains]
onde:
max-age: valor positivo e obrigatório para o campoHSTS, definido pela chave HSTSMaxAge;
includeSubDomains: flag opcional para o campoHSTS, habilitado pela chave HSTSIncludeSubDomains.
Regra de inclusão do campo HSTS no header do protocolo HTTP
Além da chave configurada na seção HTTP, a seguinte regra será observada para incluir o campo HSTS no header do protocolo HTTP:
Campo HSTS habilitado na seção HTTP do arquivo de configuração E ( o protocolo atual da mensagem é HTTPS OU o servidor Broker está configurado na chave BrokerServer )
Regra de envio da resposta de redirecionamento de HTTP para HTTPS pelo AppServer
Além da chave configurada na seção HTTP, a seguinte regra será observada para determinar o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer:
Campo HSTS habilitado na seção HTTP do arquivo de configuração E o protocolo atual da mensagem é HTTP E o servidor Broker NÃO está configurado na chave BrokerServer
Exemplo
[HTTP] ... ; HSTS HSTSEnable = 1 HSTSMaxAge = 31536000 HSTSIncludeSubDomains = 1 ; Broker Server BrokerServer = localhost:4443 ...
Abrangência
Disponível em builds à partir da versão 13.2.3.9.
Veja também
HSTSMaxAge
HSTSIncludeSubDomains
BrokerServer
RFC6797 - HTTP Strict Transport Security (HSTS)
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas