Jak się dowiedzieć, czy strona internetowa używa HSTS

Question

Jestem całkowicie nowy, aby zwijać się i próbuję ustalić, czy strony internetowe używają mechanizmu Strict-Transport-Security.

Uciekam z porady. Powiedziano mi, aby sprawdzić przed Chrome's preloaded list i uruchomić

curl -D - https://www.example.com | head -n 20 

aby sprawdzić nagłówków Strict-Transport-Security.

Ale polecenie "head" wygenerowało błąd i było nieznane.

Wszelkie pomysły?

ATM Używam Win XP, będę mieć dystrybucję linuksową za kilka dni.

Dzięki.

Answer 1

Ta metoda jest w porządku.

$ curl -s -D- https://paypal.com/ | grep Strict 
Strict-Transport-Security: max-age=14400 

Jak już zauważyliśmy, niektóre serwery internetowe prostu odmówić honorowania HEAD żądań. curl będzie wydrukować nagłówki żądania GET z -v:

$ curl -s -vv https://paypal.com/ 2>&1 | grep Strict 
< Strict-Transport-Security: max-age=14400 

< oznacza nagłówek jest zwrócony przez serwer do ciebie.

Rzeczywista example.com, jak w przykładzie, nie będzie działać, ponieważ nie słuchać na https:// w ogóle:

$ curl -D- https://www.example.com 
curl: (7) couldn't connect to host 

jako nagłówek Strict-Transport-Security jest honorowana tylko jeśli jest ona wydana przez https://, to bardzo bezpiecznie założyć, że żadna strona, która nie odpowiada na https://, nie używa STS, szczególnie, że nie ma powodu, aby to zrobić.

Answer 2

Chrome posiada funkcję wyboru TGV chrome://net-internals#hsts

ale należy pamiętać, że Chrome też lubi dodawanych wpisów w dowolnym momencie zażądać witryny za pośrednictwem protokołu HTTPS.

Właśnie przekierowałem chrome do https na wewnętrzną stronę, która nie ma certyfikatu https. Nawet nie słuchając 443. Nieoczekiwanie curl nie zwrócił ścisłego nagłówka. Zauważyłem, że chrome ma wewnętrzną listę HSTS. Można usunąć z chrome: // net-internals # hsts z wyłączeniem globalnej listy obsługiwanych usług Google.