Как обойти HSTS в поддомене интрасети?

Итак, у меня есть контроль над небольшим веб-сервером, который контролирует поддомен домена интрасети; домен имеет HSTS включен, поэтому я не могу подключиться к моему поддомену через HTTP; я также не могу использовать самозаверяющие сертификаты и HTTPS. Я думал об использовании Let's Encrypt для получения надлежащего сертификата, но из-за недоступности домена из интернета я тоже не могу этого сделать.

есть ли способ обойти HSTS для подключения к моему серверу через браузер? (Я пытаюсь настроить экземпляр Jupyter, если это имеет значение)

10
задан Akiiino
19.12.2022 9:48 Количество просмотров материала 3472
Распечатать страницу

1 ответ

на самом деле, это адрес в спецификации для HSTS,RFC 6797 (выделено мной):

11.3. Использование HSTS в сочетании с Самозаверяющими сертификатами открытого ключа

Если все четыре из следующих условий...

o веб-сайт/организация/предприятие создает свой собственный безопасный транспортный сертификат открытого ключа для веб-сайтов и

[...]

...затем безопасные соединения с этот сайт не будет работать в соответствии с HSTS дизайн. Это делается для защиты от различных активных атак, как рассмотренный выше.

[...]

однако, если указанная организация желает использовать свой собственный ЦС, и самозаверяющие сертификаты, совместно с ВПЖ, он может сделать это развертывание корневого сертификата CA в браузерах пользователей или в хранилищах корневых сертификатов CA операционной системы. Он может также, внутри дополнение или вместо распространять среди своих пользователей' браузеры сертификаты конечных сущностей для определенных узлов.

Так что вам нужно сделать один из них:

  • подпишите самостоятельно сгенерированный сертификат сертификатом CA (который вы также сгенерировали) и установите сертификат CA в браузер (или в хранилище ОС, если браузер использует это)
  • установите самозаверяющий сертификат в браузер или OS store

Как установить сертификат зависит от браузера; несколько ответов здесь, как это сделать.

на самом деле, это то, что вы должны делать даже без HSTS, так как это предотвращает обычные предупреждения сертификата. Однако, с HSTS это на самом деле единственный способ.

1
отвечен sleske 2022-12-20 17:36

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх