检查域HSTS状态

Question

Google浏览器提供了一种通过页面chrome://net-internals/#hsts (节查询域)快速检查域的HSTS (HTTP严格传输安全)状态的方法。

例如，查询结果如下：

Found:
domain: owasp.org
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains: 
static_pkp_include_subdomains: 
static_sts_observed: 
static_pkp_observed: 
static_spki_hashes: 
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_pkp_include_subdomains: false
dynamic_sts_observed: 1409173001.03746
dynamic_pkp_observed: 1409173001.03746
dynamic_spki_hashes: 

这些台词是什么意思？HSTS模式是否已启用？结果的dynamic_和static_条目有什么区别？

Answer 1

如果将static_upgrade_mode:或dynamic_upgrade_mode:行中的任何一行设置为STRICT，则启用HSTS。

动态

Dynamic意味着已指示浏览器通过类似于以下内容的header (通过TLS服务)启用HSTS：

Strict-Transport-Security: max-age=157680000; includeSubDomains;

这容易受到攻击，浏览器第一次用http:// (而不是https://)请求域时，对手就会拦截通信。

静态

为了克服这一弱点，我们采用了static模式，允许硬编码HSTS记录直接进入浏览器的源代码。标题被更改，以指示管理员的意图：

Strict-Transport-Security: max-age=157680000; includeSubDomains; preload

注意在结尾处包含了preload。然后对域进行已提交检查。如果获得批准，它将被添加到铬表中，这也包括在火狐、Safari和IE 11+Edge列表中。

Answer 2

当您查询chrome://net-internals/#hsts时，它只查询您使用chrome访问过的已存储的HSTS站点。static_和dynamic_部分展示了为通信启用STS的方法。

结果表明，没有定义static方法，只有dynamic方法。结果表明，pop和sts代表了公钥固定和严格的传输安全.因此，dynamic_pkp_observed和dynamic_sts_obeserved是STS的时间，它是为Doamin所启用的。STS在该域上是允许的，但对于子域则不允许。

最好是使用“卷曲”来检查sts。

例如：

curl -siL "owasp.org" | grep "Strict" (-L重定向到https)

如果域被配置为使用STS，那么在服务器响应中，您将看到头Strict-Transport-Security: max-age =值。

这就是为什么我喜欢Strict的原因。

Answer 3

static是指浏览器(在本例中是Chrome) 预装HSTS站点

dynamic是指那些“正在进行”或添加了手动的站点。

pkp是公共的 键钉的缩写，这是Chrome 69 已弃用的名字

spki_hashes代表SubjectPublicKeyInfo散列

_include_subdomains意味着是否在请求中包括子域

_observed是浏览器第一次观察请求的UNIX时间。

_expiry是浏览器将忘记请求的UNIX时间。