Incluso si el acceso HTTP de su portal de ArcGIS Enterprise está deshabilitado, este sigue siendo potencialmente vulnerable a una clase de ataques de seguridad que se conoce como stripping de SSL. Este tipo de ataque explota un defecto de comunicación del sitio a los navegadores web de los usuarios que hace que no se les informe de que deben usar únicamente solicitudes HTTPS. Si un atacante ejecuta una copia falsificada de su sitio web de Portal en el puerto 80 e intercepta una solicitud HTTP inicial del navegador de un usuario, podría potencialmente recibir del usuario información de seguridad comprometedora.
Para cerrar esta vulnerabilidad ante los ataques de stripping de SSL, el protocolo Seguridad de transporte HTTP estricta (HSTS, por sus siglas en inglés) configura su portal para proporcionar esta comunicación de vuelta a los navegadores web de los usuarios. Es posible habilitar HSTS en un portal de ArcGIS Enterprise 11.0.
Habilitar Seguridad de transporte HTTP estricta en su portal
A partir de 10.6.1, la cadena de configuración de seguridad del directorio de administrador de portal de ArcGIS contiene una propiedad booleana, HSTSEnabled, que tiene false como valor predeterminado. Cuando se actualiza esta propiedad a true, el sitio web del portal de instrucciones a los navegadores web para que solo envíen solicitudes a través del protocolo seguro HTTPS. Esto se realiza mediante un encabezado, Strict-Transport-Security, que da instrucciones al navegador para que utilice estrictamente solicitudes HTTPS durante el periodo de tiempo posterior definido en su propiedad max-age (que se indica en segundos). La duración se establece en un año: Strict-Transport-Security: max-age=31536000.
Precaución:
Si sus usuarios acceden a su portal a través de su ArcGIS Web Adaptor o un servidor de proxy inverso, la imposición de HSTS en su sitio puede tener consecuencias no deseadas. De acuerdo con el encabezado enviado por el protocolo HSTS, los navegadores web de los usuarios enviarán únicamente solicitudes HTTPS a estos dispositivos; si el servidor web que aloja su ArcGIS Web Adaptor o el servidor de proxy inverso aloja simultáneamente otras aplicaciones que no utilizan HTTPS, los usuarios no podrán acceder a esas otras aplicaciones. Asegúrese de que estas dependencias no existan antes de habilitar HSTS.
Para habilitar HSTS en su sitio web de Portal, siga estos pasos:
- Inicie sesión en su directorio de administrador de portal de ArcGIS en https://portal.domain.com:7443/arcgis/portaladmin.
- Busque Security > SSLCertificates > Update.
- En esta página, active la opción Seguridad de transporte HTTP estricta (HSTS) habilitada para habilitar HSTS y confirme con Actualizar.
Nota:
Por defecto, Portal for ArcGIS aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta configuración para permitir la comunicación tanto HTTP como HTTPS del portal, habilitar HSTS impondrá automáticamente la comunicación únicamente a través de HTTPS.
- Una vez que se reinicia el portal, este comienza a devolver el encabezado Strict-Transport-Security a todos los navegadores web que envíen solicitudes al sitio.
La Seguridad de transporte HTTP estricta también se puede habilitar en un sitio de ArcGIS Server.