Toepassingsportaal in combinatie met HSTS

[Bobdroid]

Ik heb HSTS ingeschakeld,  zou het meest veilige zijn. Volgens mij is dit er de oorzaak van dat tegenwoordig alle verbindingen over gaan naar https.
Op mijn werk kan ik niet inloggen op veel site van de ds via https (wel bv photostation en mailstation)

Nu heb ik mijn audiostation een extra poort gegeven via het Toepassingsportaal,  met de bedoeling dat deze als http wordt geopend.
Echter wordt deze ook doorgeroot naar een https (sinds kort) en kan ik deze dus niet openen op het werk. Ook thuis krijg ik een mededeling beveiligde verbinding mislukt.  Tot voor kort werkte dit gewoon.


Iemand een oplossing.?

[Briolet]

HSTS is inderdaad het meest veilige. Alle grote browsers ondersteunen het, behalve IE. IE gaat het pas met windows 10 gebruiken.

De meeste mensen tikken nooit het 'https' in, maar alleen de domeinnaam. Dan begint de browser met het opbouwen van een http verbinding.  In theorie kan dan de verbinding gekaapt worden zodat je naar een fake https verbinding doorgestuurd wordt. Je hebt dan wel een slotje, maar niet met het certificaat wat je verwacht.

Bij HSTS onthoud de browser dat je een bepaalde site via https gebruikt hebt, en dan probeert hij een volgende keer niet eens een http verbinding op te bouwen maar begint direct met https. Zelfs als je http invult, negeert hij dat, en maakt er https van.

Heel veilig, maar let op dat je voor elke dienst https kunt gebruiken. Ik heb b.v. IP cameras die ik alleen via http kan benaderen. Ook sommige 3th-party pakketten voor de nas kunnen niet met https overweg. In die gevallen moet je geen HSTS gebruiken, want je browser zal pertinent weigeren een http verbinding op te bouwen. Standaard wordt dit 12 maand onthouden, dus ook als je de functie op de nas weer uitzet, blijft de browser nog een jaar https gebruiken. Alleen het volledig wissen van de browser cache helpt dan.