IIS 10 no redirigirá HTTP a HTTPS después de habilitar HSTS

tag-icon tag-icon iis redirect iis-10 hsts
IIS 10 no redirigirá HTTP a HTTPS después de habilitar HSTS

Estoy intentando obligar a los usuarios finales a utilizar HTTPS cuando visitan nuestro sitio. Tengo HSTS habilitado en IIS a nivel de sitio y aplicación. Tengo una redirección HTTP configurada a nivel de sitio para https://ourdomain.com. Puedo visitar la página de inicio de nuestro sitio y ver el Strict-Transport-Security: max-age: XXXX; includeSubDomainsencabezado, pero no recibo una redirección de http://internal-hostname/a https://ourdomain.com.

he leídoIIS 10.0 Versión 1709 Compatibilidad con seguridad de transporte estricta (HSTS) HTTP, y creo que he seguido los pasos correctamente. Después de habilitar HSTS, esperaba una redirección automática de HTTP a HTTPS. yo también he leídoLa mejor manera de redirigir todo HTTP a HTTPS en IIS, pero esa pregunta se centró en IIS7. Mucho ha cambiado desde entonces con respecto al soporte HSTS, pero tal vez mis expectativas sobre una redirección automática sean erróneas.

Información del sistema:

  • Servidor de Windows 2019 (versión 1809)
  • IIS 10.0.17763.1

Lo que hice:

  1. Se abrió el Administrador de configuración de IIS.

  2. Hizo clic con el botón derecho en "Sitio web predeterminado", eligió "Administrar sitio web" y hizo clic en "Configuración avanzada".

  3. HSTS habilitado usando la siguiente configuración:

    • Habilitado: Verdadero
    • IncluirSubDominios: Verdadero
    • Edad máxima: 31536000
    • Precarga: Falso
    • Redirigir HTTP a HTTPS

    Captura de pantalla de la configuración avanzada que muestra HSTS habilitado con antigüedad máxima y redireccionamiento

  4. Se hizo clic en "Aceptar"

  5. Hizo clic en "Sitio web predeterminado" y eligió "Redireccionamiento HTTP" en la sección "IIS".

  6. Marque la casilla "Redireccionar solicitudes a este destino" e ingrese nuestra URL HTTPS (que resulta ser un equilibrador de carga, no este servidor web en particular).

    Captura de pantalla de la configuración de redireccionamiento HTTP de IIS para el sitio web predeterminado

  7. IIS reiniciado.

  8. Mientras usaba una sesión de escritorio remoto en el servidor web, abrí Microsoft Edge.

  9. Fui http://internal-hostname/a Edge.

Comportamiento esperado:el usuario es redirigido a https://ourdomain.com.

Comportamiento real:el navegador cargó una página de error "403.4 Prohibido".

Captura de pantalla de la página de inicio con las herramientas de desarrollo abiertas y que muestra el encabezado Strict-Transport-Security

HSTS parece estar habilitado porque obtengo el Strict-Transport-Securityencabezado HTTP esperado en la respuesta, pero no obtengo la redirección deseada de HTTP a HTTPS 1 , como se especifica enRFC 6797.

1 Una buena respuesta también podría ser que "HSTS" es una solución a medias en IIS 10 y realmente necesito agregar una regla de redireccionamiento HTTP.

información relacionada