HSTS bewirkt, dass moderne Browser Websites unter der Domain *.tum.de nur noch korrekt verschlüsselt (via https://) aufrufen werden. Websites ohne Verschlüsselung oder mit nicht vertrauenswürdiger Verschlüsselung wird der Browser nicht mehr aufrufen. Websites, die unverschlüsselt und verschlüsselt erreichbar sind, wird der Browser automatisch verschlüsselt aufrufen. Siehe https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security
HSTS wird durch den Betreiber der Website gesetzt, Besucher der Website müssen nichts unternehmen und bekommen davon auch nichts mit.
Als Nutzer von Web-Anwendungen der TUM werden Sie diese Umstellung vermutlich kaum bemerken. Alle gängigen Webseiten der TUM bieten längst einen verschlüsselten Zugriff an und sind daher nicht betroffen. Sollten Sie dennoch über eine unverschlüsselte Seite unter *.tum.de stolpern, welche sich dann nicht mehr aufrufen lässt, melden Sie dies bitte an it-sicherheit@tum.de .
Wie es aussieht wenn Sie eine Website aufrufen die durch HSTS geschützt ist aber keine korrekte Verschlüsselung unterstützt, sehen Sie beispielsweise hier:
https://subdomain.preloaded-hsts.badssl.com/
Als Betreiber von Diensten unter *.tum.de, die über Browser abgerufen werden, stellen Sie bitte sicher, dass Sie Ihren Dienst über https:// mit gültigem Zertifikat verfügbar machen. Für Dienste, wo dies nicht machbar/tragbar ist, finden Sie weiter unten weitere Optionen. Falls Sie ein Zertifikat benötigen finden Sie hier weitere Infos: https://wiki.tum.de/x/8QWJRg
Die Aktivierung von HSTS für *.tum.de können Sie selbst nicht beeinflussen und Sie müssen hierzu auch nichts unternehmen. Davon unabhängig können Sie HSTS selbstverständlich schon vorher selbst für Ihre eigene Subdomain aktivieren.
HSTS wird in Ihrem Browser aktiviert wenn Sie nach dem 10. August 2022 eine der vielen TUM Typo3 Websites, www.tum.de oder login.tum.de aufrufen.
Seit Januar 2023 wird *.tum.de über die Preloading-Listen der gängigen Browser ausgerollt. Bei Verwendung eines aktuellen Browsers ist HSTS daher jetzt immer aktiv, ohne dass tum.de zuvor besucht werden muss.
Ja. Sie können unter http://www.devapp.it.tum.de/hsts-test/ HSTS für *.tum.de für sich ab sofort aktivieren (und auch deaktivieren). Wenn Sie das hier lesen sollten Sie dies auch tun - Sie haben nichts davon bis zum offiziellen Stichtag zu warten
Durch den Betreiber der Website www.tum.de werden drei Endpunkte bereitgestellt:
https://tum.de/hsts/default
https://tum.de/hsts/enable
https://tum.de/hsts/disable
Der Produktive Endpunkt liefert eine möglichst kleine Ressource (gif/png, transparent) mit entsprechendem Content-Type und Caching-Header für eine halbe Stunde aus.
Ab Produktivschaltung wird zusätzlich folgender Header ausgeliefert um die Einstellung scharf zu schalten:
Strict-Transport-Security: max-age=604800; includeSubDomains
Über die darauffolgenden Wochen wir der Zeitraum (max-age) Schritt für Schritt vergrößert.
Auch die Test-Endpunkte liefern analog eine möglichst kleine Ressource (gif/png, transparent) mit entsprechendem Content-Type und Caching-Header für eine halbe Stunde aus.
Zusätzlich liefert:https://tum.de/hsts/enable
den Header Strict-Transport-Security: max-age=31536000; includeSubDomains
https://tum.de/hsts/disable
den Header Strict-Transport-Security: max-age=0; includeSubDomains
Damit Browser die HSTS Einstellung übernehmen, müssen Browser den Endpunkt https://tum.de/hsts/default
mindestens einmal abrufen. Hierzu ist es nötig, den Endpunkt z.B. als Image-Tag auf großen/häufig besuchten Websites der TUM einzubinden. Hierzu gehören z.B. www.tum.de selbst, sowie alle zentral verwalteten Typo3 instanzen. Die Einbindung des Tags kann und sollte asap erfolgen.
<img src="https://tum.de/hsts/default" height="1" width="1" />
Andere Einbindungsmöglichkeiten (CSS, prefetch) sind ebenso möglich.
Nach einer positiven Einführungsphase wird die Einstellung verstetigt. Hierzu setzt tum.de unter https://tum.de/
folgenden Header Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
und die Domain wird offiziell unter https://hstspreload.org/ registriert. Anschließend können die HSTS-Pixel auf den Websites der TUM und die Test-Endpoints wieder entfernt werden.
Dies ist noch in Diskussion. Prinzipiell soll HSTS auch für diese Domains angestrebt werden (sie sind also keine Alternativen), dies wird aber möglicherweise nicht zeitgleich umgesetzt.
Unter tum.de unverschlüsselt gehostete Websites sind danach in Browsern die HSTS unterstützen nicht mehr aufrufbar. Für normale Webauftritte sollte dies nie ein Problem sein.
Problematisch kann dies z.B. bei Konfigurations-Oberflächen von IoT Geräten sein, z.B. Multifunktionsdruckern oder Routern, sofern diese über einen *.tum.de Hostname aufgerufen werden. Die Lösung ist hier schlichtweg den Aufruf über die IP Adresse oder ein anderes (zu erstellendes) DNS Alias ausserhalb tum.de durchzuführen.
Auch Geräte wie Infomonitore die möglicherweise Browser und Webinhalte verwenden um Inhalte anzuzeigen, könnten betroffen sein sofern die Inhalte unverschlüsselt über tum.de Hostnamen angeboten werden. Wobei in diesem Fall auch häufig Browser zum Einsatz kommen die HSTS Preload nicht unterstützen. Hier müssten die Inhalte entweder verschlüsselt angeboten werden oder auf einen anderen Hostname gewechselt werden.
Prinzipiell sind keine Probleme bekannt für die keine simple Lösung existieren würde.
Die Vorteile von HSTS überwiegen definitiv die möglichen Komplikationen.
Sie können dies wie folgt erreichen: SW4gQ2hyb21lIGJhc2llcnRlbiBCcm93c2VybiBr 9m5uZW4gU2llIGVpbmZhY2ggInRoaXNpc3Vuc2Fm ZSIgYXVmIGRlciBUYXN0YXR1ciBlaW50aXBwZW4g d+RocmVuZCBkaWUgSFNUUyBXYXJudW5nIGFuZ2V6 ZWlndCB3aXJkLiBHRUJFTiBTSUUgRElFU0UgSU5G T1JNQVRJT04gQVVGIEtFSU5FTiBGQUxMIE5VVFpF Uk4gV0VJVEVSIQ==