Hva er HSTS og hvordan beskytter den HTTPS fra hackere?
Du har kanskje sørget for at nettstedene dine har SSL aktivert, og den vakre sikkerhetslåselåsen i nettleseren din er grønn. Du kan imidlertid ha glemt HTTPs lille sikkerhetsmann, HTTP Strict Transport Security (HSTS).
Hva er HSTS, og hvordan kan det bidra til å holde nettstedet ditt sikkert?
Hva er HTTPS?
Hyper Text Transfer Protocol Secure (HTTPS) er en sikret versjon av et nettsted (HTTP). Kryptering er aktivert ved hjelp av SSL-protokollen (Secure Sockets Layer) og er validert med et SSL-sertifikat. Når du kobler deg til et HTTPS-nettsted, blir informasjonen som overføres mellom nettstedet og brukeren kryptert.
Denne krypteringen bidrar til å beskytte deg mot datatyveri gjennom MITM (Middle-Attacks). Det ekstra laget av sikkerhet bidrar også til å forbedre omdømmet til nettstedet ditt. Demystify SEO: 5 Søkemotoroptimaliseringsguider som hjelper deg med å begynne Demystify SEO: 5 Søkemotoroptimaliseringsveiledninger som hjelper deg med å starte søkemotorenes mesterskap, tar kunnskap, erfaring og mange forsøk og feil. Du kan begynne å lære grunnleggende og unngå vanlige SEO feil enkelt ved hjelp av mange SEO guider tilgjengelig på nettet. Les mer . Faktisk er å legge til et SSL-sertifikat så enkelt at mange webverter vil legge den til nettstedet ditt som standard, gratis! Når det er sagt, har HTTPS fortsatt noen feil som HSTS kan hjelpe til med å fikse.
Hva er HSTS?
HSTS er en respons header som informerer en nettleser som aktiverte nettsteder kun kan nås via HTTPS. Dette tvinger nettleseren din til kun å få tilgang til HTTPS-versjonen av nettstedet og eventuelle ressurser på den.
Du kan ikke være klar over at selv om du har konfigurert ditt SSL-sertifikat riktig og aktivert HTTPS for nettstedet ditt, er HTTP-versjonen fortsatt tilgjengelig. Dette gjelder selv om du har satt opp videresending ved hjelp av 301 Permanent Omadressering.
Selv om HSTS-politikken har eksistert en liten stund, ble den bare formelt utelatt av Google i juli 2016. Det kan være hvorfor du ikke har hørt mye om det ennå.
Aktivering av HSTS stopper SSL-protokollangrep og informasjonskapsler, hva er en informasjonskapsel og hva har den å gjøre med personvernet mitt? [MakeUseOf Forklarer] Hva er en informasjonskapsel og hva skal den gjøre med personvernet mitt? [MakeUseOf Forklarer] De fleste vet at det er informasjonskapsler spredt over hele Internett, klar og villig til å bli spist opp av den som finner dem først. Vent, hva? Det kan ikke være riktig. Ja, det er informasjonskapsler ... Les mer to ekstra sårbarheter i SSL-aktiverte nettsteder. Og i tillegg til å gjøre et nettsted mer sikkert, vil HSTS få nettsteder til å lastes raskere ved å fjerne et trinn i lastingsprosedyren.
Hva er SSL-stripping?
Selv om HTTPS er en stor forbedring fra HTTP, er det ikke uskyldig å hacket. SSL-stripping er en veldig vanlig MITM-hack for nettsteder som bruker omadressering for å sende brukere fra en HTTP til HTTPS-versjonen av deres nettsted.
301 (permanent) og 302 (midlertidig) omdirigering fungerer i utgangspunktet slik:
- En brukertype google.com i nettleserens adressefelt.
- Nettleseren prøver å laste inn http://google.com som standard.
- “Google.com” er satt opp med en 301 permanent viderekobling til https://google.com.
- Nettleseren ser omdirigering og laster https://google.com i stedet.
Med SSL-stripping kan hackeren bruke tiden mellom trinn 3 og trinn 4 for å blokkere omadresseringsforespørselen og stoppe leseren fra å laste den sikre (HTTPS) versjonen av nettstedet. Da du får tilgang til en ukryptert versjon av nettstedet, kan alle data du skriver inn bli stjålet.
Hackeren kan også omdirigere deg til en kopi av nettstedet du prøver å få tilgang til, og fange opp alle dataene dine mens du skriver det, selv om det ser sikkert ut.
Google har implementert trinn i Chrome for å stoppe noen typer omadressering. Imidlertid bør aktivering av HSTS være noe du gjør som standard for alle dine nettsteder fra nå av.
Hvordan aktiverer HSTS Stopp SSL Stripping?
Aktivering av HSTS tvinger nettleseren til å laste den sikre versjonen av et nettsted, og ignorerer viderekobling og enhver annen samtale for å åpne en HTTP-tilkobling. Dette lukker omadresseringsproblemet som eksisterer med en 301 og 302 omadressering.
Det er en negativ side til og med til HSTS, og det er at en brukeres nettleser må se HSTS-overskriften minst en gang før den kan dra nytte av den til fremtidige besøk. Dette betyr at de må gå gjennom HTTP> HTTPS-prosessen minst én gang, slik at de blir sårbare første gang de besøker et HSTS-aktivert nettsted.
For å bekjempe dette, forkaster Chrome en liste over nettsteder som har HSTS aktivert. Brukere kan sende HSTS-aktiverte nettsteder til forhåndslastingslisten selv hvis de passer til de nødvendige (enkle) kriteriene.
Nettsteder som legges til i denne listen, blir hardkodet til fremtidige versjoner av Chrome-oppdateringer. Det sørger for at alle som besøker dine HSTS-aktiverte nettsteder i oppdaterte versjoner av Chrome, forblir sikre.
Firefox, Opera, Safari og Internet Explorer har sin egen HSTS-forhåndslastingsliste, men de er basert på Chrome-listen på hstspreload.org.
Slik aktiverer du HSTS på nettstedet ditt
For å aktivere HSTS på nettstedet ditt må du først ha et gyldig SSL-sertifikat. 7 Grunner til at nettstedet ditt trenger et SSL-sertifikat. 7 Grunner til at nettstedet ditt trenger et SSL-sertifikat Det spiller ingen rolle om du utvikler en beskjeden blogg eller en full e-handel nettsted: du trenger et SSL-sertifikat. Her er noen praktiske grunner til hvorfor. Les mer . Hvis du aktiverer HSTS uten en, vil nettstedet ditt være utilgjengelig for enhver besøkende, så sørg for at nettstedet ditt og eventuelle underdomener fungerer over HTTPS før du fortsetter.
Aktivering av HSTS er ganske enkelt. Du må bare legge til en overskrift til .htaccess-filen på nettstedet ditt. Overskriften du må legge til er:
Streng-Transport-Sikkerhet: Maks. Alder = 31536000; includeSubDomains
Cookies er ikke alle dårlige: 6 grunner til å la dem aktiveres på nettleserkakene dine, er ikke alle dårlige: 6 grunner til å la dem aktiveres på nettleseren din Er cookies virkelig Er det så slemt at de setter din sikkerhet og personvern i fare, eller er det gode grunner til å aktivere informasjonskapsler? Les mer), som inkluderer ditt nettsted og eventuelle underdomener. Når en nettleser har tilgang til nettstedet, kan den ikke få tilgang til den usikrede HTTP-versjonen av nettstedet i et år. Kontroller at alle underdomenene på dette domenet er inkludert i SSL-sertifikatet, og ha HTTPS aktivert. Hvis du glemmer dette, vil underdomenene ikke være tilgjengelige etter at du har lagret .htaccess-filen.
Nettsteder som mangler includeSubDomains alternativet kan avsløre besøkende til personvernlekkasjer ved å tillate underdomen å manipulere cookies. Med includeSubDomains aktivert, vil disse informasjonskapsrelaterte angrepene ikke være mulige.
Merk: Før du legger inn ettårig maksimal alder, test hele nettstedet ditt med fem minutters maksimal alder først ved å bruke: max-alder = 300;
Google anbefaler til og med at du tester ditt nettsted og dets ytelse (trafikk) med en uke og en måneds verdi også før du implementerer en toårig maksimal alder.
Fem minutter: Strenge-Transport-Sikkerhet: Maksimal alder = 300; includeSubDomains En uke: Strenge-Transport-Sikkerhet: max-age = 604800; includeSubDomains En måned: Strict-Transport-Security: max-age = 2592000; includeSubDomains
Lage HSTS-forhåndslastingslisten
Nå bør du være kjent med HSTS og hvorfor det er viktig for nettstedet ditt å bruke det. Å holde nettstedet ditt trygt på Internett bør være et viktig element i nettstedet ditt.
For å være kvalifisert for HSTS-forhåndslastingslisten som Chrome og andre nettlesere bruker, må nettstedet ditt oppfylle følgende krav:
- Server et gyldig SSL-sertifikat.
- Omdirigere fra HTTP til HTTPS på samme vert, hvis du lytter på port 80.
- Server alle underdomener over HTTPS. Spesielt må du støtte HTTPS for www.subdomain hvis det finnes en DNS-post for det underdomenet.
- Server en HSTS-header på basen domenet for HTTPS-forespørsler:
- Maksimal alder må være minst 31536000 sekunder (1 år).
- Direktivet includeSubDomains må spesifiseres.
- Preload-direktivet må spesifiseres.
- Hvis du betjener en videre omadressering fra HTTPS-siden din, må denne omadresseringen fortsatt ha HSTS-overskriften (i stedet for siden den omadresserer til).
Hvis du vil legge til nettstedet ditt på HSTS-forhåndslastingslisten, må du sørge for at du legger til ønsket forspenning stikkord. De “forspenning” alternativet betyr at du vil at nettstedet ditt skal legges til Chrome's HSTS-forhåndslastingsliste. Svarhodet i .htaccess skal da se slik ut:
Strenge-Transport-Sikkerhet: Maks. Alder = 63072000; includeSubDomains; forspenning
Vi anbefaler at du legger til nettstedet ditt på hstspreload.org. Kravene er ganske enkle å møte, og det vil bidra til å beskytte nettstedets besøkende, og potensielt forbedre nettstedets søkemotorrangering Hvordan fungerer søkemotorer? Hvordan jobber søkemotorer? For mange er Google Internett. Det er uten tvil den viktigste oppfinnelsen siden Internett selv. Og mens søkemotorer har endret seg mye siden, er de underliggende prinsippene likevel de samme. Les mer .
Utforsk mer om: HSTS, HTTPS, Online Security, SSL.