Is HTTP Strict Transport Security (HSTS) nieuw in dsm 5.1?

[Briolet]

In DSM 5.1 zag ik voor het eerst de HSTS optie in DSM (Onder netwerk -> advanced settings). In de relesenotes van DSM 5.0 noch van 5.1 kom ik echter de term HSTS tegen.

Volgens deze pagina moet HSTS door alle actuele browsers ondersteunt worden. (Met uitzondering van IE).

Ik heb het nu al een paar week aan staan op de nas, maar alleen Safari doet er wat mee, maar bij Firefox en Chrome werkt het niet. Nu vraag ik me af of er toch een bug in het synology protocol zit, of dat het niet werkt in de mac versies van Firefox en Chrome. Heeft iemand hier al ervaring mee?
Ik heb dus bewust de redirect instelling naar HTTPS uit staan en gebruik alleen de HSTS setting en alleen Safari schakelt bij mij nu automatisch naar HTTPS.

Wat HSTS doet is aan de browser aangeven dat hij een HTTPS verbinding wil hebben. De browser schakelt dan over naar HTTPS en onthoud deze wens voor een lange tijd. (default is geloof ik een jaar). Als je dan de volgende keer via HTTP probeert in te loggen, dan veranderd het al naar HTTPS vóórdat er een HTTP verbinding gelegd is.
Dat is dus nog veiliger dan de klassieke re-direct naar HTTP waar je kort via HTTP verbonden bent en er malware code uitgevoerd kan worden.

[TopGear_1542]

Ik kan me niet herinneren dat de HSTS functie in DSM 5.0 of eerder zat. Maar kan ook niet met 100% zekerheid bevestigen dat HSTS is toegevoegd in DSM 5.1.

Een toevoeging op het bericht van Briolet:
Naast het feit dat een website automatisch om zou moeten schakelen van http:// naar https://. Moeten ook alle absolute links binnen de pagina om worden gezet naar https.

Ik heb onderstaande functie tijdelijk uitgeschakeld:

HTTP - verbindingen omleiden naar HTTPS (behalve Web Station en Photo Station)

En HSTS aangezet. Op het moment dat ik mijn NAS benader met het http protocol krijg ik een Bad request antwoord. M.a.w. hij doet zowel in Chrome als Firefox weldegelijk iets met HSTS. Want als ik DSM opvraag met https dan kom ik keurig op de inlogpagina. Het automatisch omleiden doet hij echter niet. En dus weet ik ook niet of eventuele http links (als die er zijn) binnen DSM wel automatisch worden omgeleid naar https.

Voor zover ik nu kan achterhalen heeft HSTS in ieder geval dezelfde functie als het omleiden van http naar https in Firefox en Chrome voor Windows.
 

[Briolet]

Voor zover ik nu kan achterhalen heeft HSTS in ieder geval dezelfde functie als het omleiden van http naar https …

Het verschil is dat je een re-direct nog via een man-in-the-middle aanval kunt onderscheppen en naar een andere site kunt leiden. Als je dan b.v. "mijnbank" intikt kun je naar een andere site omgeleid worden.

Via HSTS begint de browser direct via een beveiligde verbinding te connecten, met het bekende certificaat, zodat ook een man-in-the-middle aanval onmogelijk is. HSTS is geen vervanging van de re-direct, maar een aanvulling.

 Ik heb in Firefox via de menu optie "Webontwikkelaar" --> "Netwerk" even naar de header gekeken. Ik zie dan dat hij niet op de webpagina werkt en alleen op de webman pagina (poort 5001).

De header op pagina 10.0.1.30:80


De header op pagina 10.0.1.30:5001


Maar ondanks dat ik de HSTS regel in de header zie bij een HTTPS inlog, krijg ik geen HTTPS pagina als ik met HTTP probeer in te loggen. Dat lijkt me dan bijna een Firefox bug.