Ce este HSTS și cum protejează HTTPS-ul de la hackeri?

S-ar putea să vă asigurați că site-urile dvs. au activat SSL, iar lacătul de securitate destul de bun din browser este verde. Cu toate acestea, este posibil să fi uitat despre omul de securitate HTTP, HTTP Strict Transport Security (HSTS).

Ce este HSTS și cum poate ajuta site-ul să fie sigur?

Ce este HTTPS?

Hyper Text Transfer Protocol Secure (HTTPS) este o versiune securizată a unui site web (HTTP). Criptarea este activată folosind protocolul Secure Sockets Layer (SSL) și este validată cu un certificat SSL. Când vă conectați la un site Web HTTPS, informațiile transferate între site-ul web și utilizatorul sunt criptate.

Această criptare vă ajută să vă protejați împotriva furtului de date prin atacurile "Man-in-the-Middle-Attack" (MITM). Stratul adăugat de securitate contribuie și la îmbunătățirea reputației site-ului dvs. Demystify SEO: 5 Ghiduri de optimizare pentru motoarele de căutare care vă ajută să începeți Demystify SEO: 5 Ghiduri de optimizare pentru motoarele de căutare care vă ajută să începeți Stăpânirea motorului de căutare necesită cunoștințe, experiență și o mulțime de încercări și eroare. Puteți începe să învățați fundamentele și să evitați cu ușurință greșelile SEO cu ajutorul multor ghiduri SEO disponibile pe Web. Citeste mai mult . De fapt, adăugarea unui certificat SSL este atât de ușor, încât multe gazde web vor adăuga site-ul dvs. în mod implicit, gratuit! Acestea fiind spuse, HTTPS are încă unele defecte pe care HSTS le poate ajuta.

Ce este HSTS?

HSTS este un antet de răspuns care informează un browser care a activat site-urile Web poate fi accesat numai prin HTTPS. Acest lucru obligă browserul dvs. să aibă acces numai la versiunea HTTPS a site-ului Web și la orice resurse de pe acesta.

Este posibil să nu fiți conștient de faptul că, chiar dacă ați configurat corect certificatul SSL și ați activat HTTPS pentru site-ul dvs. web, versiunea HTTP este încă disponibilă. Acest lucru este valabil chiar dacă ați setat redirecționarea utilizând 301 Redirecționare Permanentă.

Deși politica HSTS a fost în jur de puțin timp, a fost lansată oficial în iulie numai de către Google în iulie 2016. Poate că nu ați mai auzit încă de ea.

Activarea HSTS va opri atacurile protocolului SSL și deturnarea cookie-urilor, Ce este un cookie și ce are de făcut cu confidențialitatea mea? [Explică-i pe MakeUseOf] Ce este un cookie și ce are de făcut cu confidențialitatea mea? [Explicarea MakeUseOf] Majoritatea oamenilor știu că există cookie-uri împrăștiate peste tot pe Internet, gata și dispuse să fie mâncate de oricine le poate găsi întâi. Stai ce? Asta nu poate fi corect. Da, există cookie-uri ... Citiți mai multe două vulnerabilități suplimentare în site-urile web cu funcții de SSL. În plus, pentru a face un site mai sigur, HSTS va face site-urile să se încarce mai repede eliminând un pas în procedura de încărcare.

Ce este ruperea SSL?

Deși HTTPS este o imbunatatire imensă față de HTTP, nu este invulnerabil să fiți hackeri. Îndepărtarea SSL este un hack foarte frecvent pentru site-urile web MITM care utilizează redirecționarea pentru a trimite utilizatorii de pe un HTTP la versiunea HTTPS a site-ului lor.

301 (permanent) și 302 (temporar) redirecționează de fapt, funcționează astfel:

1. Se tipărează un utilizator google.com în bara de adrese a browserului.
2. Inițial browserul încearcă să se încarce http://google.com ca implicit.
3. “Google.com” este creat cu o redirecționare permanentă la 301 https://google.com.
4. Browserul vede redirecționarea și încărcările https://google.com in schimb.

Prin dezinstalarea SSL, hacker-ul poate folosi timpul dintre pasul 3 și pasul 4 pentru a bloca cererea de redirecționare și pentru a opri browserul de la încărcarea versiunii securizate (HTTPS) a site-ului web. Pe măsură ce accesați apoi o versiune necriptată a site-ului web, toate datele pe care le introduceți pot fi furate.

De asemenea, hacker-ul poate să vă redirecționeze către o copie a site-ului pe care încercați să îl accesați și să capturați toate datele pe măsură ce îl introduceți, chiar dacă acesta pare sigur.

Google a implementat pași în Chrome pentru a opri anumite tipuri de redirecționare. Cu toate acestea, activarea serviciului HSTS ar trebui să fie ceva ce faceți în mod prestabilit pentru toate site-urile dvs. web de acum încolo.

Cum permite activarea opririi SSL în HSTS?

Activarea serviciului HSTS obligă browserul să încarce versiunea securizată a unui site web și ignoră orice redirecționare și orice alt apel pentru a deschide o conexiune HTTP. Aceasta închide vulnerabilitatea de redirecționare care există cu o redirecționare 301 și 302.

Există o parte negativă chiar și pentru HSTS, și anume că browser-ul unui utilizator trebuie să vadă cel puțin o dată antetul HSTS înainte de a putea profita de acesta pentru vizitele viitoare. Acest lucru înseamnă că aceștia vor trebui să treacă cel puțin o dată prin procesul HTTP> HTTPS, lăsându-i vulnerabili prima dată când accesează un site web cu funcții HSTS.

Pentru a combate acest lucru, Chrome preloads o listă de site-uri care au activat HSTS. Utilizatorii pot trimite ele însele site-urile cu funcții HSTS la lista de preîncărcări dacă se încadrează în criteriile (simple) necesare.

Site-urile Web adăugate la această listă vor fi codificate în continuare în versiunile viitoare ale actualizărilor Chrome. Vă asigură că toți cei care vizitează site-urile Web activate în HSTS în versiunile actualizate ale Chrome vor rămâne sigure.

Firefox, Opera, Safari și Internet Explorer au propria listă de preîncărcări HSTS, dar se bazează pe lista Chrome pe hstspreload.org.

Cum să activați HSTS pe site-ul dvs.

Pentru a activa HSTS pe site-ul dvs., trebuie să aveți în prealabil un certificat SSL valid 7 Motive Site-ul dvs. are nevoie de un certificat SSL 7 Motive Site-ul dvs. are nevoie de un certificat SSL Nu contează dacă dezvoltați un blog modest sau un comerț electronic complet site: aveți nevoie de un certificat SSL. Iată câteva motive practice. Citeste mai mult . Dacă activați HSTS fără unul, site-ul dvs. va fi indisponibil pentru orice vizitator, deci asigurați-vă că site-ul dvs. web și orice subdomeniu funcționează pe HTTPS înainte de a continua.

Activarea HSTS este destul de ușoară. Trebuie doar să adăugați un antet fișierului .htaccess pe site-ul dvs. Antetul pe care trebuie să-l adăugați este:

Strict-Transport-Securitate: max-age = 31536000; includeSubDomains

Acest lucru adaugă un cookie de acces la vârsta de un an (ceea ce este un cookie? Cookie-urile nu sunt toate rele: 6 motive pentru a le lăsa activate pe browser-ul dvs. Cookie-urile nu sunt toate rele: 6 motive pentru a le lăsa activate pe browser-ul dvs. tot ce e rău? Sunt siguranța dvs. și confidențialitatea în pericol sau există motive întemeiate pentru a permite cookie-urile? Citiți mai multe), care include site-ul dvs. Web și orice subdomenii. Odată ce un browser a accesat site-ul web, acesta nu va putea accesa versiunea HTTP a site-ului unsecured timp de un an. Asigurați-vă că toate subdomeniile din acest domeniu sunt incluse în certificatul SSL și dacă ați activat HTTPS. Dacă ați uitat acest lucru, subdomeniile nu vor fi accesibile după ce salvați fișierul .htaccess.

Siteuri care lipsesc includeSubDomains poate expune vizitatorii la scurgeri de confidențialitate, permițând subdomeniilor să manipuleze cookie-urile. Cu includeSubDomains activat, aceste atacuri legate de cookie-uri nu vor fi posibile.

Notă: Înainte de a adăuga vârsta maximă de un an, testați întregul site web cu vârsta maximă de cinci minute utilizând: max-age = 300;

Google chiar vă recomandă să vă testați site-ul web și performanța acestuia (trafic) cu o valoare de o săptămână și de o lună, înainte de a pune în aplicare o vârstă de doi ani.

Cinci minute: Strict-Transport-Securitate: max-age = 300; includeSubDomains O săptămână: Strict-Transport-Security: max-age = 604800; include Subdomeniile O lună: Strict-Transport-Securitate: max-vârst = 2592000; includeSubDomains

Realizarea listei de preîncărcări HSTS

Până acum ar trebui să fiți familiarizați cu HSTS și de ce este important pentru site-ul dvs. să-l folosească. Păstrarea în siguranță a vizitatorilor site-ului dvs. web ar trebui să reprezinte un element-cheie al planului dvs. de site.

Pentru a fi eligibil pentru lista de preload-uri HSTS pe care Chrome și alte browsere utilizează, site-ul dvs. Web trebuie să îndeplinească următoarele cerințe:

1. Utilizați un certificat SSL valabil.
2. Redirecționați de la HTTP la HTTPS pe aceeași gazdă, dacă ascultați pe portul 80.
3. Utilizați toate subdomeniile pe HTTPS. În special, trebuie să acceptați HTTPS pentru www.subdomain dacă există o înregistrare DNS pentru acel subdomeniu.
4. Utilizați un antet HSTS pe domeniul de bază pentru solicitările HTTPS:
   • Vârsta maximă trebuie să fie de cel puțin 31536000 secunde (1 an).
   • Trebuie să fie specificată directiva includeSubDomains.
   • Trebuie specificată directiva de preîncărcare.
   • Dacă oferiți o redirecționare suplimentară de pe site-ul dvs. HTTPS, această redirecționare trebuie să aibă în continuare antetul HSTS (mai degrabă decât pagina pe care o redirecționează).

Dacă doriți să adăugați site-ul dvs. în lista de preîncărcare HSTS, asigurați-vă că adăugați cerințele necesare preîncărcare etichetă. “preîncărcare” înseamnă că doriți ca site-ul dvs. să fie adăugat în lista de preloadări Chrome HSTS. Antetul de răspuns din fișierul .htaccess ar trebui să arate astfel:

Strict-Transport-Securitate: max-age = 63072000; includeSubDomains; preîncărcare

Vă recomandăm să adăugați site-ul dvs. la hstspreload.org. Cerințele sunt destul de ușor de îndeplinit și vor contribui la protejarea vizitatorilor site-ului dvs. web și, eventual, la îmbunătățirea clasamentului motorului de căutare al site-ului dvs. Cum funcționează motoarele de căutare? Cum funcționează motoarele de căutare? Pentru mulți oameni, Google este internetul. Este, probabil, cea mai importantă invenție de la Internet în sine. Și în timp ce motoarele de căutare s-au schimbat foarte mult de atunci, principiile care stau la baza sunt încă la fel. Citeste mai mult .

Explorați mai multe despre: HSTS, HTTPS, Online Security, SSL.