Vad är HSTS och hur skyddar det HTTPS från hackare?

Vad är HSTS och hur skyddar det HTTPS från hackare? / säkerhet

Du kan ha kontrollerat att dina webbplatser har SSL-aktiverat, och det fina säkerhetshänglåset i din webbläsare är grönt. Du kan dock ha glömt HTTPs lilla säkerhetsman, HTTP Strict Transport Security (HSTS).

Vad är HSTS, och hur kan det hjälpa till att hålla din webbplats säker?

Vad är HTTPS?

Hyper Text Transfer Protocol Secure (HTTPS) är en säker version av en webbplats (HTTP). Krypteringen aktiveras med SSL-protokollet SSL (Secure Sockets Layer) och valideras med ett SSL-certifikat. När du ansluter till en HTTPS-webbplats krypteras informationen som överförs mellan webbplatsen och användaren.

Den här krypteringen hjälper dig att skydda dig mot datatyver genom MITM. Det extra säkerhetsskiktet bidrar också till att förbättra ditt webbplatss rykte. Demystify SEO: 5 Sökmotoroptimeringsguider som hjälper dig att börja Demystify SEO: 5 Guider för sökmotoroptimering som hjälper dig att starta Sökmästerskapet tar kunskap, erfarenhet och mycket rättegång och fel. Du kan börja lära dig grunden och undvika vanliga SEO-misstag enkelt med hjälp av många SEO-guider som finns tillgängliga på webben. Läs mer . Faktum är att det är så enkelt att lägga till ett SSL-certifikat så att många webbhotell kommer att lägga till det på din webbplats som standard, gratis! Med detta sagt har HTTPS fortfarande vissa brister som HSTS kan hjälpa till med att åtgärda.

Vad är HSTS?

HSTS är en svarsrubrik som informerar en webbläsare som aktiverade webbplatser endast kan nås via HTTPS. Detta gör att din webbläsare endast kan komma åt HTTPS-versionen av webbplatsen och eventuella resurser på den.

Du kanske inte är medveten om att även om du har konfigurerat ditt SSL-certifikat korrekt och aktiverat HTTPS för din webbplats, är HTTP-versionen fortfarande tillgänglig. Detta gäller även om du har ställt in vidarebefordran med 301 Permanent Omdirigering.

Trots att HSTS-politiken har funnits en stund, har den bara formellt utarbetats av Google i juli 2016. Det kan därför hända att du inte har hört talas om det ännu.

Aktivera HSTS stoppar SSL-protokollattacker och cookiekapning, Vad är en kaka och vad ska den göra med min integritet? [MakeUseOf Förklarar] Vad är en kaka och vad ska den göra med min integritet? [MakeUseOf Förklarar] De flesta vet att det finns kakor spridda över hela Internet, redo och villiga att ätas upp av den som kan hitta dem först. Vänta, va? Det kan inte vara rätt. Ja, det finns cookies ... Läs mer ytterligare två sårbarheter i SSL-aktiverade webbplatser. Och förutom att göra en webbplats säkrare kommer HSTS att göra webbplatser laddas snabbare genom att ta bort ett steg i laddningsproceduren.

Vad är SSL Stripping?

Även om HTTPS är en stor förbättring från HTTP, är det inte oskäligt att hackas. SSL-strippning är ett mycket vanligt MITM-hack för webbplatser som använder omdirigering för att skicka användare från en HTTP till HTTPS-versionen av deras webbplats.

301 (permanent) och 302 (temporär) omdirigering fungerar i princip så här:

  1. En användartyper google.com i webbläsarens adressfält.
  2. Webbläsaren försöker initialt ladda http://google.com som standard.
  3. “Google.com” är inställd med en 301 permanent omdirigering till https://google.com.
  4. Webbläsaren ser omdirigering och laddningar https://google.com istället.

Med SSL-strippning kan hackaren använda tiden mellan steg 3 och steg 4 för att blockera omdirigeringsbegäran och stoppa webbläsaren från att ladda den säkra (HTTPS) versionen av webbplatsen. Då du får tillgång till en okrypterad version av webbplatsen kan alla uppgifter du anger stulen.

Hackaren kan också omdirigera dig till en kopia av webbplatsen du försöker komma åt och fånga alla dina data när du anger den, även om den ser säker ut.

Google har genomfört steg i Chrome för att stoppa vissa typer av omdirigering. Att aktivera HSTS bör dock vara något du gör som standard för alla dina webbplatser från och med nu.

Hur aktiverar HSTS Stop SSL Stripping?

Aktivera HSTS tvingar webbläsaren att ladda den säkra versionen av en webbplats och ignorerar omdirigering och något annat samtal för att öppna en HTTP-anslutning. Detta stänger omriktnings sårbarheten som existerar med en 301 och 302 omdirigering.

Det finns en negativ sida även till HSTS, och det är att en användares webbläsare måste se HSTS-rubriken minst en gång innan den kan utnyttja den för framtida besök. Det betyder att de måste gå igenom HTTP> HTTPS-processen minst en gång, så att de är sårbara första gången de besöker en HSTS-aktiverad webbplats.

För att bekämpa detta lägger Chrome en lista över webbplatser som har HSTS aktiverat. Användare kan skicka HSTS-aktiverade webbplatser till förinstallationslistan själva om de passar de (enkla) kriterierna som krävs.

Webbplatser som läggs till i den här listan kommer att vara hårdkodade till framtida versioner av Chrome-uppdateringar. Det säkerställer att alla som besöker dina HSTS-aktiverade webbplatser i uppdaterade versioner av Chrome, kommer att vara säkra.

Firefox, Opera, Safari och Internet Explorer har sin egen HSTS-förinstallationslista, men de är baserade på Chrome-listan på hstspreload.org.

Så här aktiverar du HSTS på din webbplats

För att aktivera HSTS på din webbplats måste du först ha ett giltigt SSL-certifikat. 7 Anledningar till att din webbplats behöver ett SSL-certifikat. 7 Anledningar till att din webbplats behöver ett SSL-certifikat Det spelar ingen roll om du utvecklar en blygsam blogg eller en fullständig e-handel webbplats: du behöver ett SSL-certifikat. Här är några praktiska skäl till varför. Läs mer . Om du aktiverar HSTS utan en, kommer din webbplats inte tillgänglig för någon besökare, så se till att din webbplats och några underdomäner fungerar över HTTPS innan du fortsätter.

Aktivera HSTS är ganska enkelt. Du behöver helt enkelt lägga till en rubrik i .htaccess-filen på din webbplats. Den rubrik du behöver lägga till är:

Strikt-Transport-Säkerhet: max-age = 31536000; includeSubDomains

Cookies är inte alla dåliga: 6 skäl att lämna dem aktiverade på dina webbläsarkakor är inte alla dåliga: 6 skäl att lämna dem aktiverade på din webbläsare Är cookies verkligen Allting dåligt? Skulle de sätta din säkerhet och integritet i fare, eller finns det bra skäl att aktivera cookies? Läs mer), som inkluderar din webbplats och eventuella underdomäner. När en webbläsare har nått webbplatsen kommer den inte att kunna komma åt den osäkrade HTTP-versionen av webbplatsen för ett år. Se till att alla underdomäner på den här domänen ingår i SSL-certifikatet och ha HTTPS-aktiverat. Om du glömmer detta kommer underdomänerna inte att vara tillgängliga när du har sparat .htaccess-filen.

Webbplatser som saknar includeSubDomains Alternativet kan avslöja besökare för läckage av sekretess genom att tillåta underdomäner att manipulera cookies. Med includeSubDomains aktiverade kommer dessa cookiesrelaterade attacker inte att vara möjliga.

Notera: Innan du fyller i ett års högsta ålder testar du hela webbplatsen med en maximal ålder på fem minuter först med: max-ålder = 300;

Google rekommenderar även att du testar din webbplats och dess prestanda (trafik) med en vecka och en månadsvärde också innan du genomför en tvåårig maximal ålder.

Fem minuter: Strikt-Transport-Säkerhet: Max-ålder = 300; includeSubDomains En vecka: Strikt-Transport-Säkerhet: max-age = 604800; includeSubDomains En månad: Strikt-Transport-Säkerhet: max-age = 2592000; includeSubDomains

Gör HSTS Preload List

Nu borde du vara bekant med HSTS och varför det är viktigt för din webbplats att använda den. Att hålla din webbplats besökare säker på nätet bör vara ett centralt element i din webbplats plan.

För att vara berättigad till HSTS-förinstallationslistan som Chrome och andra webbläsare använder måste din webbplats uppfylla följande krav:

  1. Servera ett giltigt SSL-certifikat.
  2. Omdirigera från HTTP till HTTPS på samma värd, om du lyssnar på port 80.
  3. Servera alla underdomäner över HTTPS. I synnerhet måste du stödja HTTPS för www.subdomain om det finns en DNS-post för den underdomänen.
  4. Servera en HSTS-rubrik på basdomänen för HTTPS-förfrågningar:
    • Maximal ålder måste vara minst 31536000 sekunder (1 år).
    • Direktivet includeSubDomains måste anges.
    • Preload-direktivet måste anges.
    • Om du tjänar en ytterligare omdirigering från din HTTPS-webbplats måste den omdirigering fortfarande ha HSTS-rubriken (snarare än den omdirigerad sidan).

Om du vill lägga till din hemsida på HSTS-förladningslistan, se till att du lägger till det önskade förbelastning märka. De “förbelastning” alternativet innebär att du vill att din webbplats ska läggas till i Chrome: s HSTS-förinstallationslista. Svarhuvudet i .htaccess ska då se ut så här:

Strikt-Transport-Säkerhet: max-age = 63072000; includeSubDomains; förbelastning

Vi rekommenderar att du lägger till din webbplats på hstspreload.org. Kraven är ganska lätta att möta, och det kommer att bidra till att skydda webbplatsens besökare och eventuellt förbättra din webbplatss sökmotor ranking Hur fungerar sökmotorer? Hur fungerar sökmotorer? För många människor är Google internet. Det är förmodligen den viktigaste uppfinningen sedan Internet i sig. Och medan sökmotorer har förändrats mycket sedan är de underliggande principerna fortfarande desamma. Läs mer .

Utforska mer om: HSTS, HTTPS, Online Security, SSL.