Exchange Server 2016 和 2019 新增 HSTS 支持

Microsoft 宣布，Exchange Server 2016 和 2019 正式支持 HTTP 严格传输安全协议（也称为 HSTS）。

什么是 HSTS

在网络安全领域，HSTS（HTTP Strict Transport Security）是一项关键的网络安全机制，它有助于加强数据传输的安全性，可以有效保护网站（就 Exchange Server 而言，包括 OWA 或 ECP）免受多种攻击，包括协议降级攻击和 Cookie 劫持等。该机制在 RFC 6797 中得以定义和支持。

HSTS 机制让 Web 服务器能够声明，Web 浏览器在与其交互时应仅使用加密和身份验证的 HTTPS 连接。当浏览器接收到严格传输安全性（STS）头时，它将执行 HSTS，确保只使用安全的连接。

HSTS 能够有效防止用户忽略无效证书警告（如过期、无效或不受信任的证书，名称不匹配等），从而避免可能的连接破坏。即便攻击者尝试进行协议降级攻击或中间人攻击，浏览器也会及时侦测到 HSTS 策略违规情况，并立即中断连接。

在 Exchange Server 上配置 HSTS

Microsoft 发布了在 Exchange Server 2016 和 2019 上配置 HSTS 的文档，您可以点击这里访问。管理员也可以通过回滚服务器配置来禁用 Exchange Server 的 HSTS 支持。

Exchange HealthChecker 将很快得到更新，以帮助检查 Exchange Server 上的 HSTS 配置是否符合预期。