[MASOCH-L] Pagina de Aviso HSTS
Rubens Kuhl
rubensk at gmail.com
Fri May 4 14:44:05 -03 2018
2018-05-04 13:15 GMT-03:00 Roberto Alcântara <roberto at eletronica.org>:
> O problema é que ele deve estar querendo jogar o www.google.com para a
> página de cobrança. E como o browser do usuário já sabe que Google.com só
> via hsts, já vai redirecionar o acesso via http. E no https a página de
> cobrança não vai ter um certificado para Google.com, então o browser vai
> reclamar.
>
> Não acho que exista uma solução elegante para isso, aqui temos só o
> https/hsts fazendo o que se propõem.
>
Se ele já tem HTTPS, o que está barrando o acesso então é o HPKP, que faz
com que apenas CAs autorizadas sejam reconhecidas para aquele certificado.
Mas se passar pelo HTTPS dos outros é muito #fail, e logo gera rastros nos
logs de CT (Certificate Transparency). Quem estiver fazendo isso, não se
espante se começar a receber notificações extra-judiciais bem mal-criadas.
Rubens
More information about the masoch-l
mailing list