Тестирование браузеров (Firefox, Chrome, IE) и HSTS

Question

Я пытаюсь провести некоторое тестирование с помощью HSTS, поэтому я настроил новый экземпляр Apache, настроил его с сертификатом сервера (не самоподписанным) и настроил его на отправку заголовка HSTS, а затем пытаюсь провести тестирование с использованием Firefox. , Chrome и IE.

Однако до сих пор кажется, что я могу видеть только функциональность HSTS (изменение конечного URL-адреса на URL-адрес HTTPS, когда я указываю браузеру на URL-адрес, отличный от HTTPS) только с Firefox.

Когда я выполняю те же тесты, используя Chrome или IE, когда я указываю браузеру URL-адрес, отличный от HTTPS, браузер просто отображает страницу ответа ...

К вашему сведению, основываясь на результатах некоторых поисков, я сначала попытался перейти по URL-адресу HTTPS, а затем попытаться указать браузеру URL-адрес не-HTTPS .... в этом случае браузер просто показывает страницу без HTTPS .

Есть ли что-то еще, что мне нужно сделать для IE и Chrome, чтобы они продемонстрировали функциональность HSTS?

Спасибо, Jim

Answer 1

Я разобрался в своей проблеме. Похоже, что для того, чтобы HSTS работал при использовании Chrome и IE, сертификат сервера ДОЛЖЕН иметь альтернативное имя субъекта (SAN) с именем / полным доменным именем сервера, в дополнение к полному доменному имени в субъекте сертификата.

Мне удалось изменить и использовать один из сценариев в этой теме:

https://serverfault.com/questions/845766/generating-a-self-signed-cert-with-openssl-that-works-in-chrome-58

для создания нового сертификата сервера, подписанного CA, с помощью SAN, и теперь HSTS работает с Firefox, Chrome и IE (большинство решений на этой странице предназначались для самозаверяющих сертификатов сервера, но я смог адаптировать один из них использовать с моим собственным (тестовым) сертификатом CA).