IIS 10 leitet HTTP nach der Aktivierung von HSTS nicht auf HTTPS um

tag-icon tag-icon iis redirect iis-10 hsts
IIS 10 leitet HTTP nach der Aktivierung von HSTS nicht auf HTTPS um

Ich versuche, Endbenutzer beim Besuch unserer Site zu HTTPS zu zwingen. Ich habe HSTS in IIS auf Site- und Anwendungsebene aktiviert. Ich habe auf Site-Ebene eine HTTP-Umleitung zu eingerichtet https://ourdomain.com. Ich kann die Homepage unserer Site besuchen und den Strict-Transport-Security: max-age: XXXX; includeSubDomainsHeader sehen, aber ich erhalte keine Umleitung von http://internal-hostname/zu https://ourdomain.com.

Ich habe gelesenIIS 10.0 Version 1709 HTTP Strict Transport Security (HSTS)-Unterstützung, und ich glaube, ich habe die Schritte richtig befolgt. Nachdem ich HSTS aktiviert hatte, erwartete ich eine automatische Umleitung von HTTP zu HTTPS. Ich habe auch gelesenBeste Möglichkeit, alle HTTPs in IIS auf HTTPS umzuleiten, aber diese Frage bezog sich auf IIS7. Seitdem hat sich in Bezug auf die HSTS-Unterstützung viel geändert, aber vielleicht sind meine Erwartungen hinsichtlich einer automatischen Weiterleitung falsch.

System Information:

  • Windows Server 2019 (Version 1809)
  • IIS 10.0.17763.1

Was ich getan habe:

  1. IIS-Konfigurations-Manager geöffnet.

  2. Klicken Sie mit der rechten Maustaste auf „Standardwebsite“, wählen Sie „Website verwalten“ und klicken Sie auf „Erweiterte Einstellungen“.

  3. HSTS mit den folgenden Einstellungen aktiviert:

    • Aktiviert: True
    • IncludeSubDomains: Wahr
    • Max-Alter: 31536000
    • Vorspannung: Falsch
    • Leiten Sie HTTP auf HTTPS um

    Screenshot der erweiterten Einstellungen, in dem HSTS mit maximalem Alter und Umleitung aktiviert ist

  4. Auf „OK“ geklickt

  5. Klicken Sie auf „Standardwebsite“ und wählen Sie im Abschnitt „IIS“ „HTTP-Umleitung“ aus.

  6. Aktivieren Sie das Kontrollkästchen „Anfragen an dieses Ziel umleiten“ und geben Sie unsere HTTPS-URL ein (bei der es sich zufällig um einen Load Balancer und nicht um diesen bestimmten Webserver handelt).

    Screenshot der IIS-HTTP-Umleitungseinstellungen für die Standardwebsite

  7. IIS neu gestartet.

  8. Während einer Remotedesktopsitzung mit dem Webserver habe ich Microsoft Edge geöffnet.

  9. Ging http://internal-hostname/zu Edge.

Erwartetes Verhalten:Der Benutzer wird zu weitergeleitet https://ourdomain.com.

Tatsächliches Verhalten:der Browser hat eine „403.4 Forbidden“-Fehlerseite geladen.

Screenshot der Homepage mit geöffneten Entwicklertools, in dem der Header „Strict-Transport-Security“ angezeigt wird

HSTS scheint aktiviert zu sein, da ich in der Antwort den erwarteten HTTP-Header erhalte Strict-Transport-Security, aber nicht die gewünschte Umleitung von HTTP auf HTTPS 1 , wie inRFC 6797.

1 Eine gute Antwort könnte auch sein, dass „HSTS“ in IIS 10 eine unausgereifte Lösung ist und ich wirklich eine HTTP-Umleitungsregel hinzufügen muss.

verwandte Informationen