HTTPS holder besøkende på nettstedet trygt, men det er ikke perfekt.  Slik fungerer HSTS bak kulissene for å beskytte HTTPS fra hackere.

Hva er HSTS, og hvordan beskytter det HTTPS mot hackere?

Annonse Du kan ha sørget for at nettstedene dine har SSL aktivert, og den vakre sikkerhetshengelåsen i nettleseren din er grønn. Imidlertid kan det hende du har glemt HTTPs lille sikkerhetsmann, HTTP Strict Transport Security (HSTS). Hva er HSTS, og hvordan kan det bidra til å holde nettstedet ditt sikkert? Hv

Annonse

Du kan ha sørget for at nettstedene dine har SSL aktivert, og den vakre sikkerhetshengelåsen i nettleseren din er grønn. Imidlertid kan det hende du har glemt HTTPs lille sikkerhetsmann, HTTP Strict Transport Security (HSTS).

Hva er HSTS, og hvordan kan det bidra til å holde nettstedet ditt sikkert?

Hva er HTTPS?

HTTPS er avhengig av HSTS

Hyper Text Transfer Protocol Secure (HTTPS) er en sikret versjon av et nettsted (HTTP). Krypteringen er aktivert ved hjelp av SSL-protokollen (Secure Sockets Layer) og er validert med et SSL-sertifikat. Når du kobler til et HTTPS-nettsted, blir informasjonen som overføres mellom nettstedet og brukeren kryptert.

Denne krypteringen beskytter deg mot datatyveri gjennom Man-in-the-Middle-Attacks (MITM). Det ekstra sikkerhetslaget hjelper også litt til å forbedre omdømmet til nettstedet ditt. Demystify SEO: 5 Søkemotoroptimaliseringsveiledninger som hjelper deg med å begynne å avmystifisere SEO: 5 Søkemotoroptimaliseringsveiledninger som hjelper deg med å begynne Søkemotorstyring tar kunnskap, erfaring og mye prøve og feil. Du kan begynne å lære deg det grunnleggende og unngå vanlige SEO-feil enkelt ved hjelp av mange SEO-guider tilgjengelig på nettet. Les mer . Det er faktisk så enkelt å legge til et SSL-sertifikat at mange webverter vil legge det til på nettstedet ditt som gratis, gratis! Når det er sagt, har HTTPS fortsatt noen feil som HSTS kan hjelpe med å fikse.

Hva er HSTS?

HSTS er en svarhode som informerer en nettleser om at aktiverte nettsteder bare kan nås via HTTPS. Dette tvinger nettleseren din til bare å ha tilgang til HTTPS-versjonen av nettstedet og eventuelle ressurser på det.

Du er kanskje ikke klar over at selv om du har konfigurert SSL-sertifikatet riktig og aktivert HTTPS for nettstedet ditt, at HTTP-versjonen fortsatt er tilgjengelig. Dette gjelder selv om du har konfigurert videresending ved bruk av 301 Permanent Redirection.

Selv om HSTS-policyen har eksistert en liten stund, ble den først formelt rullet ut av Google i juli 2016. Det kan være grunnen til at du ikke har hørt om det ennå.

Aktivering av HSTS vil stoppe SSL-protokollangrep og kapring av informasjonskapsler. Hva er en informasjonskapsel og hva har det å gjøre med personvernet mitt? [MakeUseOf Explains] Hva er en informasjonskapsel og hva har det å gjøre med personvernet mitt? [MakeUseOf Explains] De fleste vet at det finnes informasjonskapsler spredt over hele Internett, klare og villige til å bli spist opp av den som først finner dem. Vent, hva? Det kan ikke stemme. Ja, det finnes informasjonskapsler ... Les mer to ekstra sårbarheter på SSL-aktiverte nettsteder. Og i tillegg til å gjøre et nettsted sikrere, vil HSTS gjøre nettsteder raskere ved å fjerne et trinn i innlastingsprosedyren.

Hva er SSL stripping?

Selv om HTTPS er en enorm forbedring fra HTTP, er det ikke sårbart å bli hacket. SSL stripping er et veldig vanlig MITM-hack for nettsteder som bruker omdirigering for å sende brukere fra en HTTP til HTTPS-versjonen av nettstedet deres.

301 (permanent) og 302 (midlertidig) viderekobling fungerer i utgangspunktet slik:

  1. En bruker skriver google.com i nettleserens adressefelt.
  2. Nettleseren prøver først å laste inn http://google.com som standard.
  3. "Google.com" er satt opp med en permanent omdirigering av 301 til https://google.com .
  4. Nettleseren ser viderekoblingen og laster inn https://google.com i stedet.

Med SSL-stripping kan hackeren bruke tiden mellom trinn 3 og trinn 4 til å blokkere omdirigeringsforespørselen og hindre nettleseren fra å laste den sikre (HTTPS) versjonen av nettstedet. Når du deretter får tilgang til en ukryptert versjon av nettstedet, kan all data du legger inn bli stjålet.

Hackeren kan også omdirigere deg til en kopi av nettstedet du prøver å få tilgang til, og fange opp alle dataene dine når du skriver dem inn, selv om det ser sikkert ut.

Google har implementert trinn i Chrome for å stoppe noen typer viderekoblinger. Å aktivere HSTS bør imidlertid være noe du gjør som standard for alle nettstedene dine fra nå av.

Hvordan stopper aktivering av HSTS SSL-stripping?

Aktivering av HSTS tvinger nettleseren til å laste den sikre versjonen av et nettsted, og ignorerer eventuell omdirigering og andre anrop for å åpne en HTTP-forbindelse. Dette lukker omdirigeringssårbarheten som eksisterer med en viderekobling til 301 og 302.

Det er en negativ side til og med HSTS, og det er at en brukers nettleser må se HSTS-overskriften minst en gang før den kan dra nytte av den for fremtidige besøk. Dette betyr at de må gå gjennom HTTP> HTTPS-prosessen minst en gang, slik at de blir sårbare første gang de besøker et HSTS-aktivert nettsted.

For å bekjempe dette laster Chrome på en liste over nettsteder som har HSTS aktivert. Brukere kan sende inn HSTS-aktiverte nettsteder til forhåndsinnlastingslisten selv hvis de passer til de nødvendige (enkle) kriteriene.

HSTS forhåndsinnlastingssjekk

Nettsteder lagt til i denne listen vil bli hardkodet i fremtidige versjoner av Chrome-oppdateringer. Den sørger for at alle som besøker HSTS-aktiverte nettsteder i oppdaterte versjoner av Chrome, forblir sikre.

Firefox, Opera, Safari og Internet Explorer har sin egen HSTS-forhåndsinnlastingsliste, men de er basert på Chrome-listen på hstspreload.org.

Slik aktiverer du HSTS på nettstedet ditt

For å aktivere HSTS på nettstedet ditt, må du først ha et gyldig SSL-sertifikat 7 grunner til at nettstedet ditt trenger et SSL-sertifikat 7 grunner til at nettstedet ditt trenger et SSL-sertifikat Det spiller ingen rolle om du utvikler en beskjeden blogg eller en full e-handel nettsted: du trenger et SSL-sertifikat. Her er noen praktiske grunner til. Les mer . Hvis du aktiverer HSTS uten en, vil nettstedet ditt ikke være tilgjengelig for alle besøkende, så sørg for at nettstedet ditt og eventuelle underdomener fungerer over HTTPS før du fortsetter.

Det er ganske enkelt å aktivere HSTS. Du trenger ganske enkelt å legge til en topptekst til .htaccess-filen på nettstedet ditt. Overskriften du trenger å legge til er:

 Strict-Transport-Security: max-age=31536000; includeSubDomains 

Dette gir en maksimal tilgang til informasjonskapsler for ett år (hva er en informasjonskapsel? Informasjonskapsler er ikke alle dårlige: 6 grunner til å la dem være aktivert i nettleseren. Informasjonskapsler er ikke alle dårlige: 6 grunner til å la dem være aktivert i nettleseren din. Er det så ille? Setter de din sikkerhet og personvern, eller er det gode grunner til å aktivere informasjonskapsler? Les mer), som inkluderer nettstedet ditt, og eventuelle underdomener. Når en nettleser har tilgang til nettstedet, vil den ikke kunne få tilgang til den usikrede HTTP-versjonen av nettstedet i et år. Forsikre deg om at alle underdomenene på dette domenet er inkludert i SSL-sertifikatet, og at HTTPS er aktivert. Hvis du glemmer dette, er ikke underdomenene tilgjengelige etter at du har lagret .htaccess-filen.

Nettsteder som mangler alternativet includeSubDomains, kan utsette besøkende for personvernlekkasjer ved å la underdomener manipulere informasjonskapsler. Med includeSubDomains aktivert, vil disse cookie-relaterte angrep ikke være mulig.

Merk: Før du legger til ett års maks-alder, må du teste hele nettstedet med maksimalt fem minutter ved å bruke: max-age = 300;

Google anbefaler til og med at du tester nettstedet ditt og dets ytelse (trafikk) med en uke og en måneds verdi før du implementerer en maksimal alder på to år.

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains 

Lage HSTS forhåndsinnlastingsliste

Nå bør du være kjent med HSTS, og hvorfor det er viktig for nettstedet ditt å bruke det. Å holde besøkende på nettstedet trygt på nettet bør være et sentralt element i nettstedplanen din.

For å være kvalifisert for HSTS-forhåndsinnlastingslisten som Chrome og andre nettlesere bruker, må nettstedet ditt oppfylle følgende krav:

  1. Server et gyldig SSL-sertifikat.
  2. Viderekoblingen fra HTTP til HTTPS på samme vert, hvis du lytter på port 80.
  3. Server alle underdomener over HTTPS. Spesielt må du støtte HTTPS for www.subdomain hvis en DNS-post for det underdomenet eksisterer.
  4. Server en HSTS-topptekst på basedomenet for HTTPS-forespørsler:
    • Maks alder skal være minst 31536000 sekunder (1 år).
    • Direktivet om inkludererSubDomains må spesifiseres.
    • Forhåndsinstruksjonsdirektivet må spesifiseres.
    • Hvis du viser en ekstra viderekobling fra HTTPS-siden, må den viderekoblingen fremdeles ha HSTS-overskriften (i stedet for siden den viderekobles til).

Hvis du vil legge til nettstedet ditt i HSTS-forhåndsinnlastingslisten, må du legge til den nødvendige forhåndsinnlastingskoden . Alternativet “forhåndsinnlasting” betyr at du vil at nettstedet ditt skal legges til Chrome's HSTS forhåndsinnlastingsliste. Svarhodet i .htaccess skal da se slik ut:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload 

Vi anbefaler at du legger til nettstedet ditt til hstspreload.org. Kravene er ganske enkle å oppfylle, og det vil bidra til å beskytte besøkende på nettstedet ditt, og potensielt forbedre nettstedets rangering av søkemotorer. Hvordan fungerer søkemotorer? Hvordan fungerer søkemotorer? For mange mennesker er Google Internett. Det er uten tvil den viktigste oppfinnelsen siden Internett. Og mens søkemotorer har endret seg mye siden, er de underliggende prinsippene fortsatt de samme. Les mer .

Utforsk mer om: HSTS, HTTPS, Online Security, SSL.