Cách tìm xem trang web có sử dụng HSTS

Question

Tôi hoàn toàn mới để cuộn tròn và đang cố gắng xác định xem trang web có sử dụng Nghiêm ngặt Giao thông-Bảo mật hay không.

Tôi đang hết lời khuyên. Tôi đã được yêu cầu kiểm tra lại Chrome's preloaded list và để chạy

curl -D - https://www.example.com | head -n 20 

để kiểm tra các tiêu đề nghiêm ngặt về Giao thông-Bảo mật.

Nhưng lệnh 'head' đã tạo lỗi và không xác định.

Bất kỳ ý tưởng nào?

ATM Tôi đang chạy Win XP, sẽ có bản phân phối Linux sau vài ngày.

Cảm ơn.

Answer 1

Phương pháp đó là tốt.

$ curl -s -D- https://paypal.com/ | grep Strict 
Strict-Transport-Security: max-age=14400 

Như bạn đã nhận thấy, một số máy chủ web chỉ từ chối yêu cầu HEAD yêu cầu. curl sẽ in các tiêu đề cho một yêu cầu GET với -v:

$ curl -s -vv https://paypal.com/ 2>&1 | grep Strict 
< Strict-Transport-Security: max-age=14400 

Các < nghĩa tiêu đề là một trong những trả về bởi máy chủ cho bạn.

thực tế example.com, như trong ví dụ của bạn, sẽ không làm việc vì nó không nghe trên https:// tại tất cả:

$ curl -D- https://www.example.com 
curl: (7) couldn't connect to host 

Khi Strict-Transport-Security tiêu đề được chỉ vinh dự nếu nó được phân phối qua https://, nó rất an toàn để giả định rằng bất kỳ trang web nào không phản hồi trên https:// không sử dụng STS, đặc biệt là vì nó sẽ không có lý do để làm như vậy.

Answer 2

Chrome có một tính năng kiểm tra HSTS chrome://net-internals#hsts

Nhưng lưu ý rằng Chrome cũng thích mục bổ sung bất cứ khi nào quý vị yêu cầu một trang web trên https.

Chỉ có chrome chuyển hướng tôi đến https cho trang web nội bộ chưa có chứng chỉ https. Thậm chí không nghe 443. Không ngạc nhiên khi curl không trả về một tiêu đề Strict. Sau đó tôi tìm thấy chrome có một danh sách HSTS nội bộ. Có thể được xóa khỏi chrome: // net-internals # hsts, ngoại trừ danh sách Google được duy trì toàn cầu.