名稱 | HTTP 回應標頭 |
GPO | IIS |
類別 | 傳輸加密 |
描述 | 這項原則設定決定是否強制使用 HTTPS 進行連線 ▪ HTTP Strict Transport Security (HSTS) 主要用來宣告瀏覽器與伺服器之間的通訊方式必須強制使用 TLS/SSL 加密通道,只要從伺服器端送出一個 Strict-Transport-Security 標頭(Header) 給瀏覽器,就可以告訴瀏覽器在未來的某段時間內一律使用 SSL 連接該網站(可設定包含所有子域名網站),如果有發生憑證失效的情況,使用者將無法瀏覽該網站,如此一來便可大幅減少中間人攻擊的問題發生 |
設定 | ▪ IIS 管理員\伺服器\IIS\HTTP 回應標頭\動作\開啟功能\新增 ▪ 名稱:Strict-Transport-Security ▪ 值:max-age=480 (已使用 HTTPS 連線的網站 480 秒內不再檢查) GCB 設定值: 名稱:Strict-Transport-Security 值:max-age 設為 480 以上 |