Microsoft wil aanvallen via onveilige verbindingen voorkomen door gewone HTTP-verbindingen te blokkeren in Exchange Server 2016 en 2019. Beheerders krijgen daarom toegang tot HSTS.
Microsoft rolt HSTS uit voor Exchange Server 2016 en 2019. HSTS staat voor HTTP Strict Transport Security. Wanneer beheerders HSTS inschakelen, zal de server verbindingen via HTTPS verplicht maken. Het wordt zo onmogelijk voor een aanvaller om een HTTPS-verbinding te downgraden naar HTTP, waarna een man in the middle-aanval in theorie mogelijk wordt.
Veel voor delen
Verder zorgt HSTS ervoor dat gebruikers niet-vertrouwde, ongeldige of vervallen certificaten niet zomaar kunnen omzeilen. Zo’n meldingen geven een onveilige verbinding weer, maar gebruikers zelf zijn soms hardleers. Ook de redirect van HTTP naar HTTPS wordt overbodig. HSTS heeft niet echt belangrijke nadelen en zorgt voor een handige laag van bijkomende bescherming voor website-bezoekers.
Beheerders moeten HSTS zelf configureren. Dat kan via PowerShell of de IIS-manager. Microsoft legt in detail uit hoe je HSTS kan inschakelen. De methode verschilt tussen Exchange Server 2016 en Exchange Server 2019. Microsoft plant om in de nabije toekomst een update uit te rollen voor Exchange HealthChecker die je moet helpen om na te gaan of HSTS correct is ingeschakeld.