Sicherung von Webserver gegen MITM-Angriff in Safari

Question

Ich habe nach einer Möglichkeit gesucht, um sicherzustellen, dass mein Webserver sicher gegen einen Mann im mittleren Angriff ist. Es scheint, dass Google Chrome und Firefox Blockierungsanforderungen an meinen Server ausführen, selbst wenn ich nach der Sicherheitswarnung weiter vorschlage. Ich teste das mit Charles Proxy, um den HTTP-Verkehr abzufangen, ohne dem Charles Cert auf meinem Mac zu vertrauen.

Wenn ich die gleichen Tests mit Safari durchführe, wird es mich durchlassen, wenn ich die sichere Warnung ignoriere, die ich von einer bestimmten Anzahl von Benutzern erwarte. Es scheint also, dass mehr Konfiguration benötigt wird, um den Safari-Datenverkehr zu sperren. Ich weiß, das ist möglich, weil, wenn sie mit dem gleichen Szenario zu navigieren ich versuche, die folgende Meldung erhalten, um github.com:

Weiß jemand, was GitHub Safari tut Verkehr auf eine nicht vertrauenswürdige Verbindung zu blockieren?

Answer 1

Looks like Safari unterstützt HSTS und das Github verwendet es. Ihre HTTP-Antwort enthält die folgenden Header:

Strict-Transport-Security:max-age=31536000; includeSubdomains; preload 

diese Weise wird ein Browser HSTS weiß, dass in absehbarer Zeit diese Seite unterstützen sollte nur mit https und alle Versuche, besucht werden http verwenden nur automatisch vom Browser aufgerüstet werden.

Abgesehen von grundlegenden HSTS, die nur nach dem ersten Besuch der Website funktioniert github fügt auch die preload Richtlinie hinzu. Dies weist Browser-Hersteller an, dass github gerne in die mit den Browsern gelieferte vorinstallierte HSTS-Liste aufgenommen wird, so dass der Browser HSTS anwendet, selbst wenn die Site vom Benutzer nie zuvor besucht wurde. Weitere Informationen finden Sie unter HSTS Preloading.