Exibir origem

Habilita a geração e possível envio do campo HTTP Strict Transport Security (HSTS) no header do protocolo HTTP e o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer.

Valores válidos

Valor	Descrição
`0 (padrão)`	Não gera o campo `HTTP Strict Transport Security (HSTS)`.
`1`	Gera o campo `HTTP Strict Transport Security (HSTS)`.

Observações

O campo HTTP Strict Transport Security (HSTS) do header de resposta do protocolo HTTP, definido na RFC6797 - HTTP Strict Transport Security (HSTS), é um recurso de segurança que permite a sites informar os browsers de que aqueles somente deveriam ser acessados usando HTTPS, em vez de HTTP;
Esta chave somente habilita a geração do campo HSTS, mas não garante sua inclusão no header do protocolo HTTP: esta depende de uma regra de inclusão específica, definida na documentação desta chave;
O envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer depende de outra regra de específica, definida na documentação da desta chave;
Esta chave está relacionada às chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer na seção HTTP do arquivo de configuração do AppServer, e às chaves HSTSMaxAge e HSTSIncludeSubDomains na seção BALANCE_HTTP do arquivo de configuração do servidor Broker;
Caso o servidor Broker esteja em uso, a chave equivalente a esta, caso exista na seção BALANCE_HTTP do arquivo de configuração do servidor Broker, também deverá ser configurada, idealmente ambas com valores iguais;
Caso não habilitada, as chaves HSTSMaxAge, HSTSIncludeSubDomains e BrokerServer serão ignoradas na inclusão;
Caso habilitada, o campo do header HTTP será gerado no formato definido na RFC6797 - HTTP Strict Transport Security (HSTS).

Formato do campo HSTS no header do protocolo HTTP

Conforme definido na RFC6797 - HTTP Strict Transport Security (HSTS), o campo HSTS será gerado no seguinte formato:

Strict-Transport-Security: max-age=<expire-time>[; includeSubDomains]

onde:

max-age: valor positivo e obrigatório para o campo HSTS, definido pela chave HSTSMaxAge;

includeSubDomains: flag opcional para o campo HSTS, habilitado pela chave HSTSIncludeSubDomains.

Regra de inclusão do campo HSTS no header do protocolo HTTP

Além da chave configurada na seção HTTP, a seguinte regra será observada para incluir o campo HSTS no header do protocolo HTTP:

Campo HSTS habilitado na seção HTTP do arquivo de configuração
E ( o protocolo atual da mensagem é HTTPS
OU o servidor Broker está configurado na chave BrokerServer )

Regra de envio da resposta de redirecionamento de HTTP para HTTPS pelo AppServer

Além da chave configurada na seção HTTP, a seguinte regra será observada para determinar o envio ou não da resposta de redirecionamento de HTTP para HTTPS pelo AppServer:

Campo HSTS habilitado na seção HTTP do arquivo de configuração
E o protocolo atual da mensagem é HTTP
E o servidor Broker NÃO está configurado na chave BrokerServer

Exemplo

[HTTP]
...
; HSTS
HSTSEnable = 1
HSTSMaxAge = 31536000
HSTSIncludeSubDomains = 1
; Broker Server
BrokerServer = localhost:4443
...

Abrangência

Disponível em builds à partir da versão 13.2.3.9.

Veja também

HSTSMaxAge
HSTSIncludeSubDomains
BrokerServer
RFC6797 - HTTP Strict Transport Security (HSTS)