Mesmo quando o acesso de HTTP do seu portal ArcGIS Enterprise estiver desativado, ele ainda é potencialmente vulnerável a uma classe de ataques à segurança conhecidos como remoção de SSL. Este tipo de ataque explora a falta de comunicação entre o site e os navegadores da web dos seus usuários, informando-os para utilizar somente solicitações de HTTPS. Se um invasor executar uma cópia falsa do site da web do portal na porta 80 e interceptar uma solicitação de HTTP inicial a partir do navegador de um usuário, ele poderá receber informações de segurança comprometedoras do usuário.
Para fechar esta vulnerabilidade aos ataques de remoção do SSL, o protocolo Segurança de Transporte de HTTP Restrita (HSTS) configura o portal para fornecer esta comunicação de volta aos navegadores da web dos usuários. A HSTS pode ser habilitada em um portal do ArcGIS Enterprise 11.3 .
Habilitar Segurança de Transporte de HTTP Restrita no seu portal
A partir da versão 10.6.1, a string de configuração da segurança no ArcGIS Portal Administrator Directory contém uma propriedade Booleana HSTSEnabled, que é configurada para false por padrão. Quando esta propriedade é atualizada para true, o site do portal informa aos navegadores da web para enviar somente solicitações utilizando HTTPS seguro. Isto é feito utilizando um cabeçalho, Strict-Transport-Security, direcionando o navegador para utilizar restritamente as solicitações de HTTPS no período subsequente de tempo definido por sua propriedade max-age (que é fornecida em segundos). Esta duração é definida para um ano: Strict-Transport-Security: max-age=31536000.
Aviso:
Se os seus usuários acessarem seu portal através do seu ArcGIS Web Adaptor ou de um servidor proxy reverso, impor a HSTS em seu site poderá ter consequências indesejadas. De acordo com o cabeçalho enviado pelo protocolo HSTS, os navegadores da web dos usuários enviarão somente solicitações de HTTPS para estes dispositivos; se o servidor da web que hospeda seu ArcGIS Web Adaptor ou o servidor proxy reverso estiver hospedando simultaneamente outros aplicativos que não utilizam HTTPS, os usuários não poderão acessar estes outros aplicativos. Garanta que estas dependências não existam antes de habilitar a HSTS.
Para habilitar a HSTS no site do seu portal, siga estas etapas:
- Entre no ArcGIS Portal Administrator Directory em https://portal.domain.com:7443/arcgis/portaladmin.
- Navegue até Segurança > SSLCertificates > Atualizar.
- Nesta página, marque a opção Segurança de Transporte de HTTP Restrita (HSTS) habilitada para habilitar a HSTS e confirme Atualizar.
Anotação:
Por padrão, o Portal for ArcGIS força HTTPS para todas as comunicações. Se você tiver alterado esta configurando anteriormente para permitir ambas comunicação de HTTP e de HTTPS no seu portal, a habilitação do HSTS reforçará comunicação de somente HTTPS automaticamente.
- Após o portal ser reiniciado, ele começa a devolver o cabeçalho Strict-Transport-Security para todos os navegadores que enviam solicitações ao site.
A Segurança de Transporte de HTTP Restrita também pode ser habilitada em um site do ArcGIS Server .