Incluso si el protocolo web del sitio de ArcGIS Server está establecido como Solo HTTPS, este sigue siendo potencialmente vulnerable a una clase de ataques de seguridad conocida como stripping de SSL. Este tipo de ataque explota un defecto de comunicación del sitio a los navegadores web de los usuarios que hace que no se les informe de que deben usar únicamente solicitudes HTTPS. Si un atacante ejecuta una copia falsificada de su sitio de ArcGIS Server en el puerto 80 e intercepta una solicitud HTTP inicial del navegador de un usuario, podría potencialmente recibir del usuario información de seguridad comprometedora.
Para cerrar esta vulnerabilidad ante los ataques de stripping de SSL, el protocolo Seguridad de transporte HTTP estricta (HSTS, por sus siglas en inglés) configura su sitio para proporcionar esta comunicación de vuelta a los navegadores web de los usuarios. Es posible habilitar HSTS en un sitio de ArcGIS Server 11.3.
Habilitar HSTS en su sitio
A partir de 10.6.1, la cadena de configuración de seguridad del Directorio de administrador del sitio de ArcGIS Server contiene una propiedad booleana, HSTSEnabled, que tiene false como valor predeterminado. Cuando se actualiza esta propiedad a true, el sitio de ArcGIS Server da instrucciones a los navegadores web para que solo envíen solicitudes a través del protocolo seguro HTTPS. Esto se realiza mediante un encabezado, Strict-Transport-Security, que da instrucciones al navegador para que utilice estrictamente solicitudes HTTPS durante el periodo de tiempo posterior definido en su propiedad max-age (que se indica en segundos). La duración se establece en un año: Strict-Transport-Security: max-age=31536000.
Precaución:
Si sus usuarios acceden a su sitio de ArcGIS Server a través de su ArcGIS Web Adaptor o un servidor de proxy inverso, la imposición de HSTS en su sitio puede tener consecuencias no deseadas. De acuerdo con el encabezado enviado por el protocolo HSTS, los navegadores web de los usuarios enviarán únicamente solicitudes HTTPS a estos dispositivos; si el servidor web que aloja su ArcGIS Web Adaptor o el servidor de proxy inverso aloja simultáneamente otras aplicaciones que no utilizan HTTPS, los usuarios no podrán acceder a esas otras aplicaciones. Asegúrese de que estas dependencias no existan antes de habilitar HSTS.
Para habilitar HSTS en su sitio de ArcGIS Server, siga estos pasos.
- Inicie sesión en su Directorio de administrador de ArcGIS Server en https://gisserver.domain.com:6443/arcgis/admin.
- Acceda a seguridad > config > actualizar.
- Si el parámetro Protocolo no tiene aún el valor Solo HTTPS, establézcalo ahora.
- Si la comunicación HTTP ha sido deshabilitada por el protocolo del sitio, estará disponible la opción Seguridad de transporte HTTP estricta (HSTS) habilitada. Active esta casilla de verificación para habilitar HSTS y haga clic en Actualizar.
- Una vez que se reinicia el sitio de servidor, este comienza a devolver el encabezado Strict-Transport-Security a todos los navegadores web que envíen solicitudes al sitio.
La Seguridad de transporte HTTP estricta también se puede habilitar en un portal de ArcGIS Enterprise.