Skip To Content

Imporre una stretta comunicazione HTTPS

Anche disabilitando l'accesso HTTP, il portale ArcGIS Enterprise è ancora potenzialmente vulnerabile a una classe di attacchi alla sicurezza nota come stripping SSL. Questo tipo di attacco sfrutta la mancanza di comunicazione dal sito ai browser Web degli utenti, informandoli di utilizzare solo le richieste HTTPS. Se l’autore di un attacco esegue una copia falsa del sito Web del portale sulla porta 80 e intercetta una richiesta HTTP iniziale dal browser dell'utente, potrebbe potenzialmente ricevere informazioni che compromettono la sicurezza da parte dell'utente.

Per chiudere questa vulnerabilità agli attacchi di stripping SSL, il protocollo HTTP Strict Transport Security (HSTS) configura il portale per fornire di nuovo questa comunicazione ai browser Web degli utenti. È possibile abilitare il protocollo HSTS in un portale ArcGIS Enterprise 11.3.

Abilitare HTTP Strict Transport Security nel portale

A partire dalla versione 10.6.1, la stringa di configurazione della sicurezza in ArcGIS Portal Administrator Directory contiene una proprietà booleana HSTSEnabled, imposta su false per impostazione predefinita. Quando si aggiorna questa proprietà su true, il sito Web del portale indica ai browser Web di inviare le richieste utilizzando esclusivamente HTTPS sicuro. Questa operazione viene eseguita utilizzando un'intestazione, Strict-Transport-Security, che indirizza il browser a utilizzare rigorosamente le richieste HTTPS per il periodo di tempo successivo definito dalla relativa proprietà max-age (che viene fornita in secondi). Questa durata è impostata su un anno: Strict-Transport-Security: max-age=31536000.

Attenzione:

Se gli utenti accedono al portale tramite ArcGIS Web Adaptor o un server proxy inverso, imporre HSTS nel sito potrebbe avere conseguenze indesiderate. In conformità all'intestazione inviata dal protocollo HSTS, i browser Web degli utenti invieranno solo richieste HTTPS a questi dispositivi; se il server Web che ospita ArcGIS Web Adaptor o il server proxy inverso ospita contemporaneamente altre applicazioni che non utilizzano HTTPS, gli utenti non saranno in grado di accedere a tali altre applicazioni. Assicurarsi che queste dipendenze non esistano prima di abilitare HSTS.

Per abilitare HSTS sul sito Web del portale, attenersi alla seguente procedura:

  1. Effettuare l'accesso ad ArcGIS Portal Administrator Directory su https://portal.domain.com:7443/arcgis/portaladmin.
  2. Passare a Sicurezza > Certificati SSL > Aggiorna.
  3. In questa pagina, selezionare l’opzione HTTP Strict Transport Security (HSTS) abilitato per abilitare HSTS e confermare Aggiorna.
    Nota:

    Per impostazione predefinita, Portal for ArcGIS adotta HTTPS per tutte le comunicazioni. Se in precedenza questa impostazione è stata modificata per consentire sia le comunicazioni HTTP che HTTPS per il portale, l’abilitazione dell’HSTS rafforzerà automaticamente la comunicazione HTTP esclusiva.

  4. Una volta riavviato, il portale inizia a riportare l’intestazione Strict-Transport-Security a tutti i browser Web che inviano richieste al sito.

HTTP Strict Transport Security può inoltre essere abilitato in un sito ArcGIS Server.