Selbst wenn der Zugriff auf Ihr ArcGIS Enterprise-Portal über HTTP deaktiviert ist, bleibt die Gefahr des SSL-Strippings bestehen. Bei solchen Angriffen wird ein Kommunikationsdefizit zwischen der Site und dem Webbrowser Ihrer Benutzer ausgenutzt, um diese darüber zu informieren, dass ausschließlich HTTPS-Anforderungen verwendet werden sollen. Wenn ein Angreifer dann eine gefälschte Kopie Ihrer Portal-Website auf Port 80 ausführt und eine ursprüngliche HTTP-Anforderung vom Browser des Benutzers abfängt, wäre er theoretisch in der Lage, an sicherheitsrelevante Informationen des Benutzers zu gelangen.
Wenn Sie diese Sicherheitslücke schließen und SSL-Stripping-Angriffe verhindern möchten, können Sie Ihr Portal mit dem HTTP Strict Transport Security (HSTS)-Protokoll so konfigurieren, dass eine solche Kommunikation an den Webbrowser des Benutzers zurückgesendet wird. HSTS kann in einem ArcGIS Enterprise 10.7.1-Portal aktiviert werden.
Aktivieren von HTTP Strict Transport Security im Portal
Seit Version 10.6.1 enthält die Zeichenfolge für die Sicherheitskonfiguration im ArcGIS Portal-Administratorverzeichnis die boolesche Eigenschaft HSTSEnabled, die standardmäßig auf false eingestellt ist. Wenn Sie diese Eigenschaft in true ändern, weist die Portal-Website den Webbrowser an, Anforderungen nur über das sichere HTTPS-Protokoll zu senden. Diese Anweisung verbirgt sich in dem Header Strict-Transport-Security; sie bewirkt, dass der Browser für eine bestimmte Zeit ausschließlich HTTPS-Anforderungen verwendet (den genauen Zeitraum in Sekunden definiert die max-age-Eigenschaft). Hier ist die Dauer auf ein Jahr eingestellt: Strict-Transport-Security: max-age=31536000.
Vorsicht:
Wenn die Benutzer über ArcGIS Web Adaptor oder einen Reverseproxyserver auf Ihr Portal zugreifen, kann die erzwungene Verwendung von HSTS in Ihrer Site unbeabsichtigte Folgen haben. Gemäß dem durch das HSTS-Protokoll übermittelten Header versenden die Webbrowser der Benutzer HTTPS-Anforderungen nur an bestimmte Geräte; wenn auf dem Webserver neben ArcGIS Web Adaptor oder dem Reverseproxyserver noch andere Anwendungen gehostet werden, die kein HTTPS verwenden, haben die Benutzer keinen Zugriff auf diese Anwendungen. Vor der Aktivierung von HSTS sollten Sie solche Abhängigkeiten also zunächst beseitigen.
Gehen Sie folgendermaßen vor, um HSTS auf Ihrer Portal-Website zu aktivieren:
- Melden Sie sich bei Ihrem ArcGIS Portal-Administratorverzeichnis unter https://portal.domain.com:7443/arcgis/portaladmin an.
- Navigieren Sie zu Security > SSLCertificates > Update.
- Aktivieren Sie auf dieser Seite die Option HTTP Strict Transport Security (HSTS) enabled, um HSTS zu aktivieren, und bestätigen Sie Update.
Hinweis:
Portal for ArcGIS erzwingt HTTPS standardmäßig für die gesamte Kommunikation. Wenn Sie diese Einstellung zuvor geändert haben, um sowohl die HTTP- als auch die HTTPS-Kommunikation für Ihr Portal zu ermöglichen, wird durch Aktivierung von HSTS automatisch die ausschließliche Kommunikation über HTTPS erzwungen.
- Nach dem Neustart des Portals wird der Strict-Transport-Security-Header an alle Webbrowser zurückgegeben, die Anforderungen an die Site senden.
Das HTTP Strict Transport Security-Protokoll kann ebenfalls in einer ArcGIS Server-Site aktiviert werden.