Windows 7 und 8.1: Microsoft verteilt HTTP Strict Transport Security per Update
Zum Juni-Patchday von Microsoft gehört die Einführung von HTTP Strict Transport Security (HSTS) für den Internet Explorer 11 von Windows 7 und Windows 8.1. HSTS ist Teil des kumulativen Sicherheitsupdates KB3058515(öffnet im neuen Fenster) für den Internet Explorer. Detailliert informiert Microsoft in dem Knowledge-Base-Artikel 3071338(öffnet im neuen Fenster) , der aufgrund der maschinellen Übersetzung ( "Internet Explorer 11 fügt Unterstützung für HTTP-Transport strenge-Funktion" ) aber schwer zu lesen ist.
Dank HSTS sollen Anwender deutlich besser vor Man-in-the-Middle-Angriffen geschützt werden. Eine reine Browser-Unterstützung reicht allerdings nicht. Eine Webseite muss ihre HSTS-Funktion auch bekanntgeben. Microsoft setzt dabei laut Blogeintrag(öffnet im neuen Fenster) entweder auf die Chromium-Preload-List oder auf einen HSTS-Header der Webseite, der dem Browser mitteilt, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig seien.
Microsoft ist mit der HSTS-Unterstützung recht spät dran(öffnet im neuen Fenster) . Auf der anderen Seite ist der dazugehörige RFC6797(öffnet im neuen Fenster) in der letzten Fassung auch noch vergleichsweise jung.
Das Sicherheitsupdate mit der neuen HSTS-Funktion ist regulär über das Windows-Update verfügbar und wurde als wichtiges Update eingestuft, was einer schnellen Verbreitung zugutekommen sollte, da die meisten Anwender es damit automatisch installieren. Neben Windows 7 und 8.1 gibt es das Update auch für die RT-Variante und einige Serverversionen - für diejenigen, die mit ihrem Server entgegen den Empfehlungen im Internet surfen.