Posted on

Kaj je HSTS?

HTTP Strict Transport Security prisili brskalnik v  HTTPS povezavo s spletno stranjo

HTTP Strict Transport Security se zadnje čase pojavlja v novicah, saj se je Google odločil, da doda 45 TLD na HSTS seznam. V tem članku bomo pogledali, kaj je HSTS in zakaj je to učinkovito dopolnilo vaši trenutni implementaciji SSL.

Kaj je HSTS?

HTTP Strict Transport Security je varnostna politika spleta, ki se pošilja preko glave strani, s čimer brskalniki omogočajo varno HTTPS povezavo na spletno mesto. S tem preprečite zasego piškotkov in napade za spremembo protokola. To storite tako, da nastavite parameter Strict-Transport-Security, ki vse povezave naredi varne in ne upošteva skript, ki se poskušajo naložiti prek nevarne povezave HTTP. Glava nastavi časovno obdobje izvajanja parametra.

HSTS je IETF standardni protokol. Določen je v RFC 6797, ki je bil odobren pred petimi leti.

Obstaja eno varnostno tveganje, povezano s HSTS

S HSTS obstaja eno glavno tveganje. Ker je parameter STS posredovan v glavi, še vedno obstaja možnosti za napad med prvo povezavo – preden je imel brskalnik priložnost, da naloži glavo. To je precej ozek napadalni vektor, vendar s pravimi orodji lahko heker onemogoči SSL šifriranje in ukrade podatke.

Še enkrat, to je majhna možnost, vendar jo je mogoče izkoristiti in vsako tveganje, ki ga lahko omilite, bi bilo treba zagotovo ublažiti. Torej obstaja rešitev v obliki seznama preloadov HSTS.

Kaj je seznam preloadov HSTS?

Preload HSTS je seznam pred-naloženih spletnih mest, ki uporabljajo HSTS. To dejansko zapre okno za prvo spremembo protokola povezave ali zasego piškotkov. Ko spletni brskalnik prispe na spletno mesto na seznamu pred-naloženih HSTS, že ve, da mora uporabiti varno povezavo.

Edina težava s pred-naloženim seznamom HSTS je, da lahko traja nekaj časa, da se na seznam uvrstite. Na milost in nemilost ste prepuščeni posodobitvi brskalnikov, preden boste vključeni na sam seznam. Nekateri brskalniki se posodabljajo mesečno, zato bo čakanje trajalo le nekaj tednov, pri drugih pa lahko traja mesece. Zato je odločitev Googla, da registrira vse TLD-je na seznamu, tako močna. Zdaj je vsaka spletna stran s temi TLD-ji – ki je zavarovana s SSL certifikatom – že privzeto na seznamu.

Ali naj implementiram HSTS na mojo stran?

Seveda. Priporočamo vam uporabo HSTS. Celo s SSL certifikatom so še vedno možnosti za izkoriščanje spletne strani. Če nimate HSTS je tako, kot bi zaklenili vrata, okno pa pustili odklenjeno – še vedno je možnost vstopiti, le bolj iznajdljivi morate biti.

Kaj je treba upoštevati pred uvedbo HSTS?

  • Na vaši spletni strani morate imeti že nameščen SSL certifikat.
  • Če imate poddomeno, boste morali uporabiti “wildcard ” certifikat.
  • Za preusmeritev vseh HTTP strani na HTTPS morate uporabiti 301 preusmeritve.
  • Google pravi, da je najboljša praksa časovne nastavitve 2 leti.
  • Vključiti je treba poddomene in pred-naložene glave.

Zaključek

  • HTTP Strict Transport Security je spletni naslov, ki prisili brskalnike k varnim povezavam.
  • Spletne strani morajo imeti nameščen HSTS, ker blokira degradacijo protokola in zasego piškotkov.
  • Priporočamo, da svojo spletno stran vključite na seznam pred-naloženih HSTS, da blokirate napade s prvo povezavo.