15-10-2015, 23:19 laatst bijgewerkt door Erik van Straten: 14-10-2015, 18:01 door Anoniem: Door Erik van Straten:Helaas is werkt nog niet alles perfect: als je met MSIE11
https://hsts.badssl.com/ opent, verschijnt de melding "HSTS is working" wat natuurlijk onzin is (MSIE11 ondersteunt geen HSTS).
Microsoft heeft het recent met een Cumulative Security Update voor IE11 toegevoegd:
http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/
Je hebt gelijk. Zoiets stond me eerder vandaag ook bij, maar ik heb met F12 (de toets), start opname en Ctrl-F5 in het browservenster gezien dat via http het plaatje opgehaald wordt (dwz de poging daartoe). Morgen zal ik nog eens goed kijken wat er gebeurt (ik heb nu geen MSIE11 bij de hand).
Ik heb het bovenstaande nogmaals geprobeerd, nu met wireshark erbij aan. Inderdaad wordt er geen informatie onversleuteld uitgewisseld. Conclusie: MSIE11 houdt mij voor de gek in hun debugger (getest met
https://hsts.badssl.com/), want deze toont:
URL |Protocol |Method |Result |Type |Taken |Initiator
----------------------------------------------------------------------------------
https://hsts.badssl.com |HTTPS |GET |200 |text/html |0.62s |navigate
/hsts-test/status.svg |HTTP |GET |301 | |47ms |<img>
/hsts-test/status.svg |HTTPS |GET |200 |image/svg+xml |156ms |<img>
----------------------------------------------------------------------------------
Ik kan die middelste regel echt niet anders uitleggen dan dat er via http (niet https) een request wordt gedaan, compleet met return code (de response headers kun je bekijken door op die regel te dubbel-klikken en het tabblad "Response Headers" te bekijken).
Ik vermoed dat Microsoft support voor HSTS in MSIE11 op een laag niveau heeft toegevoegd ("onder" de debugger dus): de HSTS check zit dus als een soort MITM tussen de browser-engine en de daadwerkelijk naar internet verzonden data. Als er een http request voorbij komt, antwoordt die MITM met een "301 moved" response, zonder dat er data
via internet wordt uitgewisseld...
Als ik de ondersteuning voor HSTS
uitschakel in MSIE11 (zie de registry-wijzigingen genoemd in
https://support.microsoft.com/en-us/kb/3071338, let op: voor x64 moet dat op 2 plaatsen), dan wordt
http://hsts.badssl.com/hsts-test/status.svg daadwerkelijk uitgevoerd en toont MSIE een waarschuwing met een rode X dat HSTS niet werkt: "X HSTS is not working".
Wat mij overigens
ook opvalt, is dat noch Chrome, noch MSIE11 (met HSTS enabled), noch Firefox een hangsslotje (TLS, niet de favicon) laten zien op
https://hsts.badssl.com/ - terwijl het certificaat in orde is en er geen gegevens onversleuteld worden uitgewisseld (immers, HSTS dwingt dit af). De reden daarvoor is vermoedelijk dat de makers van deze browsers webapplicatieontwikkelaars proberen op te voeden: zolang zij http:// verwijzingen in hun code laten staan (die tijdens het tonen van de pagina daadwerkelijk worden uitgevoerd), verschijnt er geen slotje.
N.b bij Firefox verschijnt (in de default configuratie), in plaats van een hangslotje, een driehoek met uitroepteken (waarop je kunt klikken voor meer informatie, zie ook
https://support.mozilla.org/en-US/kb/how-do-i-tell-if-my-connection-is-secure?as=u&utm_source=inproduct#w_gray-warning-triangle). Als je in Firefox about:config de waarde
security.mixed_content.block_display_content op
True zet (default = False) en je opent
https://hsts.badssl.com/, dan verschijnt er
wel een slotje. Het SVG plaatje (dat tekst genereert) onderin de pagina wordt dan echter geheel niet opgehaald. Normaal gesproken gebruik ik Firefox met deze instelling (voer in het zoekveld
mixed in om alle relevante instellingen te zien).
Ten slotte: op mijn suggestie gisteren heeft Lucas Garron gisteren de pagina "mixed/form"
https://mixed.badssl.com/mixed/form/ toegevoegd, waarbij je kunt controleren of jouw browser een waarschuwing geeft als je gegevens naar een site stuurt (met een HTTP POST commando) en dit
onversleuteld gebeurt. Het is namelijk fijn om te weten of jouw browser je op zo'n moment waarschuwt (MSIE11 lijkt dat, by default, NIET te doen).
Voorbeeld: als je op de "Zoek" knop in
https://www.overheid.nl/zoeken/ klikt, worden jouw zoektermen, geheel onverwacht, onversleuteld (via http) overgedragen - terwijl je toch echt op een https site zit; m.i. zou je beter mogen verwachten van onze overheid. Op z'n minst verwacht ik een waarschuwing
in die pagina zelf dat ingevoerde informatie onversleuteld zal worden verzonden...