Wie zu finden, wenn eine web-site verwendet, HSTS
Ich bin völlig neu aufrollen und versuche, um festzustellen, ob websites, die use Strict-Transport-Security.
Ich bin mit off-Beratung. Ich habe gesagt, zu prüfen, gegen Chrome ist vorinstalliert Liste und laufen
curl -D - https://www.example.com | head -n 20
prüfen für Strict-Transport-Security-Header.
Aber der 'Kopf' - Befehl einen Fehler generiert und unbekannt war.
Irgendwelche Ideen?
ATM hab ich Win XP laufen, haben Sie eine linux-Distribution in ein paar Tagen.
Dank.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Dass die Methode in Ordnung ist.
Als Sie bemerkt haben, manche Webserver einfach weigern, zu Ehren
HEAD
Anfragen.curl
wird zum Ausdruck der Kopfzeilen für einGET
Anfrage mit-v
:Den
<
bedeutet, dass der header wird man vom server zurückgegeben werden, um Sie.Tatsächlichen
example.com
, wie in deinem Beispiel, wird nicht funktionieren, da es hört nicht aufhttps://
an alle:Als
Strict-Transport-Security
header wird nur geehrt, wenn es geliefert wird überhttps://
, es ist sehr sicher davon ausgehen, dass jede Website, die nicht reagiert, um aufhttps://
ist nicht mit STS, zumal es keinen Grund, dies zu tun.wget
und wenden HSTS-site über http bekommen Sie:URL transformed to HTTPS due to an HSTS policy
und Sie am Ende auf httpsChrome hat eine HSTS-check-Funktion
chrome://net-internals#hsts
Aber bewusst sein, dass Chrome mag auch Einträge Hinzugefügt, Wann immer Sie verlangen, eine Website über https.
Hatte gerade chrome redirect mich zu https für eine interne Website, die nicht über eine https-cert. Nicht einmal hören auf 443. Wenig überraschend curl kam nicht wieder einen Strengen header. Ich habe dann festgestellt, chrome hat eine interne HSTS-Liste. Kann gelöscht werden von chrome://net-internals#hsts ohne die globalen Google-Liste gepflegt.