O IIS 10 não redirecionará HTTP para HTTPS após ativar o HSTS

tag-icon tag-icon iis redirect iis-10 hsts
O IIS 10 não redirecionará HTTP para HTTPS após ativar o HSTS

Estou tentando forçar os usuários finais a usar HTTPS ao visitar nosso site. Tenho o HSTS habilitado no IIS no nível do site e do aplicativo. Eu tenho um redirecionamento HTTP configurado no nível do site para https://ourdomain.com. Posso visitar a página inicial do nosso site e ver o Strict-Transport-Security: max-age: XXXX; includeSubDomainscabeçalho, mas não estou recebendo um redirecionamento de http://internal-hostname/para https://ourdomain.com.

Eu liSuporte ao IIS 10.0 Versão 1709 HTTP Strict Transport Security (HSTS)e acredito que segui as etapas corretamente. Depois de ativar o HSTS, esperava um redirecionamento automático de HTTP para HTTPS. Eu também liMelhor maneira de redirecionar todo HTTP para HTTPS no IIS, mas essa questão se concentrou no IIS7. Muita coisa mudou desde então em relação ao suporte HSTS, mas talvez minhas expectativas de um redirecionamento automático estejam erradas.

Informação do sistema:

  • Servidor Windows 2019 (versão 1809)
  • IIS10.0.17763.1

O que eu fiz:

  1. Gerenciador de configuração do IIS aberto.

  2. Clique com o botão direito em "Site padrão", escolha "Gerenciar site" e clique em "Configurações avançadas".

  3. Habilite o HSTS usando as seguintes configurações:

    • Ativado: Verdadeiro
    • IncluirSubDomains: Verdadeiro
    • Idade máxima: 31536000
    • Pré-carregamento: Falso
    • Redirecionar HTTP para HTTPS

    Captura de tela de configurações avançadas mostrando HSTS ativado com idade máxima e redirecionamento

  4. Clicou em "OK"

  5. Cliquei em "Site padrão" e escolhi "Redirecionamento HTTP" na seção "IIS".

  6. Marque marcado "Redirecionar solicitações para este destino" e insira nosso URL HTTPS (que é um balanceador de carga, não este servidor web específico).

    Captura de tela das configurações de redirecionamento HTTP do IIS para o site padrão

  7. IIS reiniciado.

  8. Ao usar uma sessão de área de trabalho remota para o servidor web, abri o Microsoft Edge.

  9. Fui para http://internal-hostname/Edge.

Comportamento esperado:o usuário é redirecionado para https://ourdomain.com.

Comportamento real:o navegador carregou uma página de erro “403.4 Forbidden”.

Captura de tela da página inicial com ferramentas de desenvolvedor abertas mostrando o cabeçalho Strict-Transport-Security

O HSTS parece estar ativado porque estou obtendo o Strict-Transport-Securitycabeçalho HTTP esperado na resposta, mas não estou obtendo o redirecionamento desejado de HTTP para HTTPS 1 , conforme especificado emRFC 6797.

1 Uma boa resposta também poderia ser que "HSTS" é uma solução incompleta no IIS 10 e eu realmente preciso adicionar uma regra de redirecionamento HTTP.

informação relacionada