Skip To Content

Wymuszanie ścisłej komunikacji HTTPS

Nawet jeśli do portalu ArcGIS Enterprise jest wyłączony dostęp HTTP, jest on nadal potencjalnie podatny na klasę ataków na zabezpieczenia nazywaną usuwaniem SSL (stripping). Ten typ ataku wykorzystuje brak komunikacji między witryną a przeglądarkami internetowymi użytkowników, informując je, aby używały tylko żądań HTTPS. Jeśli atakujący uruchomi fałszywą kopię witryny internetowej portalu na porcie 80 i przechwyci początkowe żądanie HTTP z przeglądarki użytkownika, może potencjalnie otrzymać od tego użytkownika informacje naruszające bezpieczeństwo.

W celu zablokowania tej podatności na ataki usuwania SSL (stripping) protokół HSTS (HTTP Strict Transport Security) konfiguruje portal w taki sposób, aby zwrócić tę komunikację do przeglądarek internetowych użytkowników. Mechanizm HSTS można włączyć w portalu ArcGIS Enterprise 10.6.1.

Włączanie mechanizmu HTTP Strict Transport Security w portalu

Począwszy od wersji 10.6.1, ciąg znakowy konfiguracji zabezpieczeń w aplikacji ArcGIS Portal Administrator Directory zawiera właściwość logiczną (Boolean) HSTSEnabled, która domyślnie jest skonfigurowana na false. Gdy ta właściwość zostaje zaktualizowana do true, witryna internetowa portalu informuje przeglądarki, że mają wysyłać żądania wyłącznie z użyciem bezpiecznego protokołu HTTPS. Jest to realizowane za pomocą nagłówka, Strict-Transport-Security, nakazującemu przeglądarce ścisłe użycie żądań HTTPS przez kolejny odstęp czasu zdefiniowany w jej właściwości max-age (podanej w sekundach). Ten czas trwania jest skonfigurowany na rok: Strict-Transport-Security: max-age=31536000.

Uwaga:

Jeśli użytkownicy mają dostęp do portalu przez ArcGIS Web Adaptor lub zwrotny serwer proxy, wymuszenie mechanizmu HSTS w witrynie może spowodować niezamierzone konsekwencje. Zgodnie z nagłówkiem wysłanym przez protokół HSTS przeglądarki internetowe użytkowników będą wysyłać tylko żądania HTTPS do tych urządzeń. Jeśli serwer internetowy hostujący ArcGIS Web Adaptor lub zwrotny serwer proxy hostuje równocześnie inne aplikacje, które nie używają protokołu HTTPS, użytkownicy nie będą mogli mieć dostępu do tych pozostałych aplikacji. Przed włączeniem mechanizmu HSTS upewnij się, że te zależności nie istnieją.

Aby włączyć mechanizm HSTS w witrynie portalu, wykonaj następujące czynności:

  1. Zaloguj się do aplikacji ArcGIS Portal Administrator Directory pod adresem https://portal.domain.com:7443/arcgis/portaladmin.
  2. Przejdź do opcji Bezpieczeństwo > Certyfikaty SSL > Aktualizuj.
  3. Na tej stronie zaznacz opcję Włączony mechanizm HSTS (HTTP Strict Transport Security), aby włączyć mechanizm HSTS, a następnie potwierdź Aktualizuj.
    Notatka:

    Jeśli jeszcze nie skonfigurowano portalu do wymagania protokołu HTTPS dla całej komunikacji, włączenie w tym miejscu mechanizmu HSTS automatycznie włączy taką konfigurację.

  4. Po zrestartowaniu portalu zacznie on zwracać nagłówek Strict-Transport-Security do wszystkich przeglądarek internetowych wysyłających żądania do witryny.

Mechanizm HTTP Strict Transport Security może również zostać włączony w witrynie ArcGIS Server.