Die Exchange-Server-Versionen 2016 und 2019 unterstützen neu HTTP Strict Transport Security, kurz HSTS. Bei HSTS handelt es sich um eine Direktive für Webserver, welche Webseiten anweist, ausschliesslich Verbindungen via HTTPS zuzulassen, womit Verschlüsselung und Authentifizierung zum Einsatz kommen. Webseiten werden damit vor sogenannten Man-in-the-middle-Angriffen wie Protokoll-Downgrades oder Cookie Hijacking geschützt, wie
Microsoft in einem Tech-Community-Beitrag
erklärt.
Dabei verhindert HSTS, dass User Warnungen vor ungültigen oder abgelaufenen Zertifikaten umgehen können, die auf eine gefährdete Verbindung hinweisen. Versucht derweil ein Angreifer, eine Man-in-the-middle-Attacke durchzuführen, erkennt der Browser eine Verletzung der HSTS-Direktive und bricht die Verbindung ab.
Für die Konfiguration von HSTS in Exchange Server hat Microsoft eine ausführliche
Anleitung ins Netz gestellt, die durch die nötigen Schritte führt. Dazu will man Exchange HealthChecker über ein Update in die Lage versetzen, die HSTS-Konfiguration in Exchange zu prüfen.
(rd)