Vad är HSTS och hur skyddar det HTTPS från hackare?
Annons
Du kanske har försäkrat dig om att dina webbplatser har SSL aktiverat, och att det vackra hänglåset i din webbläsare är grönt. Du kan dock ha glömt bort HTTP: s lilla säkerhetsman, HTTP Strict Transport Security (HSTS).
Vad är HSTS, och hur kan det hjälpa till att hålla din webbplats säker?
Vad är HTTPS?
Hyper Text Transfer Protocol Secure (HTTPS) är en säker version av en webbplats (HTTP). Krypteringen aktiveras med SSL-protokollet Secure Sockets Layer och valideras med ett SSL-certifikat. När du ansluter till en HTTPS-webbplats krypteras informationen som överförs mellan webbplatsen och användaren.
Denna kryptering hjälper dig att skydda dig mot datastöld genom Man-in-the-Middle-Attacks (MITM). Det extra säkerhetsskiktet hjälper också att förbättra din webbplats rykte Demystify SEO: 5 Guider för sökmotoroptimering som hjälper dig att börja Demystify SEO: 5 Guider för sökmotoroptimering som hjälper dig att börja Sökmotorbehörighet tar kunskap, erfarenhet och massor av tester och fel. Du kan börja lära dig grunderna och undvika vanliga SEO-misstag enkelt med hjälp av många SEO-guider tillgängliga på webben. Läs mer . Faktum är att det är så enkelt att lägga till ett SSL-certifikat att många webbhotell lägger till det på din webbplats som standard gratis! Som sagt, HTTPS har fortfarande vissa brister som HSTS kan hjälpa till att fixa.
Vad är HSTS?
HSTS är en svarshuvud som informerar en webbläsare om att aktiverade webbplatser endast kan nås via HTTPS. Detta tvingar din webbläsare att bara kunna komma åt HTTPS-versionen av webbplatsen och alla resurser på den.
Du kanske inte är medveten om att trots att du har konfigurerat ditt SSL-certifikat korrekt och aktiverat HTTPS för din webbplats, att HTTP-versionen fortfarande är tillgänglig. Detta gäller även om du har konfigurerat vidarebefordran med 301 permanent omdirigering.
Även om HSTS-policyn har funnits en liten stund, genomfördes den bara formellt av Google i juli 2016. Det kan vara anledningen till att du inte har hört talas om det ännu.
Att aktivera HSTS kommer att stoppa SSL-protokollattacker och cookie kapning, vad är en cookie & vad har det att göra med min integritet? [MakeUseOf Explains] Vad är en cookie och vad har det att göra med min integritet? [MakeUseOf Explains] De flesta vet att det finns kakor spridda över hela Internet, redo och villiga att bli ätna upp av den som kan hitta dem först. Vänta, va? Det kan inte vara rätt. Ja, det finns kakor ... Läs mer två ytterligare sårbarheter på SSL-aktiverade webbplatser. Och utöver att göra en webbplats säkrare kommer HSTS att göra webbplatser att ladda snabbare genom att ta bort ett steg i lastningsförfarandet.
Vad är SSL-strippning?
Även om HTTPS är en enorm förbättring från HTTP, är det inte oskadligt att hackas. SSL stripping är ett mycket vanligt MITM-hack för webbplatser som använder omdirigering för att skicka användare från en HTTP till HTTPS-versionen av deras webbplats.
301 (permanent) och 302 (tillfällig) omdirigering fungerar i princip så här:
- En användare skriver google.com i sin webbläsares adressfält.
- Webbläsaren försöker inledningsvis ladda http://google.com som standard.
- "Google.com" är inställt med en permanent omdirigering 301 till https://google.com .
- Webbläsaren ser omdirigeringen och laddar istället https://google.com .
Med SSL-strippning kan hackaren använda tiden mellan steg 3 och steg 4 för att blockera omdirigeringsbegäran och hindra webbläsaren från att ladda den säkra (HTTPS) versionen av webbplatsen. När du sedan öppnar en okrypterad version av webbplatsen kan all information du anger stela.
Hackaren kan också omdirigera dig till en kopia av webbplatsen du försöker få åtkomst till och fånga alla dina uppgifter när du anger den, även om den ser säker ut.
Google har implementerat steg i Chrome för att stoppa vissa typer av omdirigeringar. Att aktivera HSTS bör dock vara något du gör som standard för alla dina webbplatser från och med nu.
Hur stoppar aktivering av HSTS SSL-strippning?
Aktivering av HSTS tvingar webbläsaren att ladda den säkra versionen av en webbplats och ignorerar alla omdirigeringar och alla andra samtal för att öppna en HTTP-anslutning. Detta stänger omdirigeringssårbarheten som finns med en 301 och 302-omdirigering.
Det finns en negativ sida till och med HSTS, och det är att en användares webbläsare måste se HSTS-huvudet åtminstone en gång innan den kan dra nytta av den för framtida besök. Detta innebär att de måste gå igenom HTTP> HTTPS-processen minst en gång, vilket gör dem sårbara första gången de besöker en HSTS-aktiverad webbplats.
För att bekämpa detta laddar Chrome in en lista med webbplatser som har HSTS aktiverat. Användare kan skicka in HSTS-aktiverade webbplatser till förladdningslistan själva om de passar de nödvändiga (enkla) kriterierna.
Webbplatser som läggs till i denna lista kommer att kodas in i framtida versioner av Chrome-uppdateringar. Det ser till att alla som besöker dina HSTS-aktiverade webbplatser i uppdaterade versioner av Chrome förblir säkra.
Firefox, Opera, Safari och Internet Explorer har sin egen HSTS-förladdningslista, men de är baserade på Chrome-listan på hstspreload.org.
Hur du aktiverar HSTS på din webbplats
För att aktivera HSTS på din webbplats måste du först ha ett giltigt SSL-certifikat 7 skäl till att din webbplats behöver ett SSL-certifikat 7 skäl till att din webbplats behöver ett SSL-certifikat Det spelar ingen roll om du utvecklar en blygsam blogg eller en full e-handel webbplats: du behöver ett SSL-certifikat. Här är några praktiska skäl till varför. Läs mer . Om du aktiverar HSTS utan någon kommer din webbplats inte att vara tillgänglig för alla besökare, så se till att din webbplats och underdomäner fungerar över HTTPS innan du fortsätter.
Att aktivera HSTS är ganska enkelt. Du behöver helt enkelt lägga till en rubrik till .htaccess-filen på din webbplats. Den rubrik du behöver lägga till är:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Detta lägger till en cookie med max åldersåtkomst för ålder (vad är en cookie? Cookies är inte alla dåliga: 6 skäl att lämna dem aktiverade i din webbläsare Cookies är inte alla dåliga: 6 skäl att lämna dem aktiverade i din webbläsare är kakor verkligen är det så illa? Sätter de din säkerhet och integritet i riskzonen, eller finns det goda skäl för att aktivera cookies? Läs mer), som inkluderar din webbplats och eventuella underdomäner. När en webbläsare har öppnat webbplatsen kommer den inte att kunna komma åt den osäkra HTTP-versionen av webbplatsen under ett år. Se till att alla underdomäner på den här domänen ingår i SSL-certifikatet och att HTTPS är aktiverat. Om du glömmer detta kommer inte underdomänerna att vara tillgängliga efter att du har sparat .htaccess-filen.
Webbplatser som saknar alternativet includeSubDomains kan utsätta besökare för sekretessläckor genom att låta underdomäner manipulera cookies. Med includeSubDomains aktiverat kommer dessa cookie-relaterade attacker inte att vara möjliga.
Obs! Innan du lägger till ett års maxålder ska du testa hela webbplatsen med fem minuters maxålder först med: max-age = 300;
Google rekommenderar till och med att du testar din webbplats och dess prestanda (trafik) med en vecka och ett månadsvärde innan du implementerar en två års maxålder.
Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains
Gör HSTS-förbelastningslistan
Nu bör du känna till HSTS och varför det är viktigt för din webbplats att använda den. Att hålla dina webbplatsbesökare säkra online bör vara ett viktigt inslag i din webbplatsplan.
För att vara berättigad till HSTS-förladdningslistan som Chrome och andra webbläsare använder, måste din webbplats uppfylla följande krav:
- Servera ett giltigt SSL-certifikat.
- Omdirigera från HTTP till HTTPS på samma värd om du lyssnar på port 80.
- Servera alla underdomäner via HTTPS. Du måste särskilt stödja HTTPS för www.subdomain om det finns en DNS-post för det underdomänet.
- Servera en HSTS-rubrik på basdomänen för HTTPS-förfrågningar:
- Max-åldern måste vara minst 31536000 sekunder (1 år).
- Direktivet includeSubDomains måste anges.
- Förbelastningsdirektivet måste anges.
- Om du visar en ytterligare omdirigering från din HTTPS-webbplats måste den omdirigeringen fortfarande ha HSTS-rubriken (snarare än den sida den omdirigerar till).
Om du vill lägga till din webbplats till HSTS-förbelastningslistan, se till att du lägger till den nödvändiga förbelastningstaggen . Alternativet "förbelastning" innebär att du vill att din webbplats ska läggas till Chromes HSTS-förbelastningslista. Svarhuvudet i .htaccess ska då se ut så här:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Vi rekommenderar att du lägger till din webbplats till hstspreload.org. Kraven är ganska enkla att uppfylla, och det hjälper till att skydda din webbplats besökare och potentiellt förbättra din webbplats sökmotor ranking Hur fungerar sökmotorer? Hur fungerar sökmotorer? För många är Google IS internet. Det är utan tvekan den viktigaste uppfinningen sedan själva Internet. Och medan sökmotorerna har förändrats mycket sedan, är de underliggande principerna fortfarande desamma. Läs mer .
Utforska mer om: HSTS, HTTPS, Online Security, SSL.