从HTTP重定向到HTTPS；SSLStrip

Question

我们的网页应用主页重定向从HTTP到HTTPS。我们的安全顾问告诉我们，这是一个重大的安全弱点，重定向可能会被SSLStrip截获。因此，我们应该删除重定向，完全禁用HTTP，要求用户手动输入https://..。

在我自己研究过这个问题之后，在我看来，最初的http响应可能是攻击者直接伪造的MITM --不需要重定向。因此，移除重定向没有任何效果。

不过，我不确定SSLStrip本身是否能够做到这一点--也许它需要首先看到初始的HTTP响应。

我知道HSTS会防止这个问题，如果有关的设备/浏览器曾经联系过我们的应用程序。但是对于最初的联系，HTTP请求可能被劫持，无论应用程序做什么-没有保护，除非我们的网络应用足够受欢迎，包括在浏览器HSTS列表。

我错过了什么？从HTTP重定向到HTTPS是否重要？

我不喜欢删除它，因为它将阻止许多典型的用户能够连接到我们的网站，它似乎没有任何成就。

Answer 1

是的，在MITM场景中，成功攻击所需的全部是初始HTTP请求(如果用户没有注意到缺少的HTTPS)。防止这个初始HTTP请求的唯一方法是HTTP严格运输安全(HSTS)。

如您所知，HSTS意味着您的服务器的HTTPS响应包括一个HSTS报头，它告诉浏览器只能使用HTTPS，也就是说，客户端不知道在获得第一个HTTPS响应之前必须通过HTTPS与服务器联系。

但是HSTS的一个特性解决了这个问题:预压！所有的支持HSTS的浏览器，也包括一个硬编码的域名列表，必须通过HTTPS联系。如果每个人都符合以下标准，他们就可以提交他们的域名被包括在HSTS预压表中：

1. 有一个有效的证书。
2. 将所有HTTP流量重定向到HTTPS -即仅为HTTPS。
3. 在HTTPS上服务所有子域，特别是如果存在该子域的DNS记录，则包括www子域。
4. 在HTTPS请求的基域上提供一个HSTS报头：
   • 有效期至少为十八周(10886400秒)。
   • 必须指定includeSubdomains令牌。
   • 必须指定预加载令牌。
   • 如果您正在提供来自HTTPS站点的附加重定向服务，则该重定向必须仍然具有HSTS头(而不是它重定向到的页面)。

在服务器上禁用HTTP并不能提高您的安全性:用户在第一次请求之前不知道它已被禁用，因此仍然会通过HTTP发出请求，并允许MITM响应请求--即使您的服务器没有响应请求。