Microsoft tilføjer HSTS til Exchange Server 2016 og 2019
I et forsøg på at beskytte on-premise Exchange servere mod bl.a. Man in the Middle (MiTM) angreb, udruller Microsoft nu "HTTP Strict Transport Security" (HSTS) til Microsoft Exchange Servere 2016 og 2019.
Udover at beskytte mod MiTM yder det også et værn mod protokol downgrades og cookie hijacking. Men endnu vigtigere, så fjernes også den tusgamle praksis med at videredirigere/omstille trafik fra HTTP til HTTPS.
Alle moderne browsere vil tvinges til at gøre brug af HSTS når de modtager en "Strict-Transport-Security" header over en HTTPS forbindelse. Det forudsætter imidlertid, at certifikatet er gyldigt og stoles på af browseren, at det ikke er udløbet, og endeligt, at certifikatet indeholder det domæne eller subdomæne som browseren forbinder sig til.
Windows Extended Protection med CU14
Microsoft har annonceret at deres "Windows Extended Protection" vil blive aktiveret som standard i løbet af det kommende efterår. Det vil ske efter installation af CU14 (2023 H2 Cumulative Update)
Yderligere oplysninger:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/configure-http-strict-transport-security-in-exchange-server