HTTPS holder besøgende på webstedet sikkert, men det er ikke perfekt. Her er, hvordan HSTS fungerer bag kulisserne for at beskytte HTTPS mod hackere.

Hvad er HSTS, og hvordan beskytter det HTTPS mod hackere?

Reklame Du har muligvis sørget for, at dine websteder har SSL aktiveret, og den smukke sikkerhedshængelås i din browser er grøn. Dog har du muligvis glemt HTTP's lille sikkerhedsmand, HTTP Strict Transport Security (HSTS). Hvad er HSTS, og hvordan kan det hjælpe med at holde dit websted sikkert? Hva

Reklame

Du har muligvis sørget for, at dine websteder har SSL aktiveret, og den smukke sikkerhedshængelås i din browser er grøn. Dog har du muligvis glemt HTTP's lille sikkerhedsmand, HTTP Strict Transport Security (HSTS).

Hvad er HSTS, og hvordan kan det hjælpe med at holde dit websted sikkert?

Hvad er HTTPS?

HTTPS er afhængig af HSTS

Hyper Text Transfer Protocol Secure (HTTPS) er en sikret version af et websted (HTTP). Krypteringen er aktiveret ved hjælp af SSL-protokollen Secure Sockets Layer og valideres med et SSL-certifikat. Når du opretter forbindelse til et HTTPS-websted, krypteres de oplysninger, der overføres mellem webstedet og brugeren.

Denne kryptering hjælper dig med at beskytte dig mod datatyveri gennem Man-in-the-Middle-Attacks (MITM). Det tilføjede lag af sikkerhed hjælper også lidt med at forbedre ry på dit websted Demystify SEO: 5 Guider til søgemaskineoptimering, der hjælper dig med at afmystificere SEO: 5 Søgemaskineoptimeringsguider, der hjælper dig med at begynde Søgemaskinsbeherskelse tager viden, erfaring og masser af prøve og fejl. Du kan begynde at lære de grundlæggende og undgå almindelige SEO-fejl nemt ved hjælp af mange SEO-guider, der er tilgængelige på Internettet. Læs mere . Faktisk er det så let at tilføje et SSL-certifikat, at mange webhosts vil tilføje det til dit websted som standard gratis! Når det er sagt, har HTTPS stadig nogle mangler, som HSTS kan hjælpe med at løse.

Hvad er HSTS?

HSTS er et svarhoved, der informerer en browser om, at aktiverede websteder kun kan fås adgang via HTTPS. Dette tvinger din browser til kun at kunne få adgang til HTTPS-versionen af ​​webstedet og eventuelle ressourcer på det.

Du er muligvis ikke klar over, at selvom du har konfigureret dit SSL-certifikat korrekt og aktiveret HTTPS til dit websted, at HTTP-versionen stadig er tilgængelig. Dette er tilfældet, selvom du har konfigureret videresendelse ved hjælp af Permanent omdirigering af 301.

Selvom HSTS-politikken har eksisteret et stykke tid, blev den først formelt rullet ud af Google i juli 2016. Det kan være grunden til, at du ikke har hørt om det meget endnu.

Aktivering af HSTS vil stoppe SSL-protokolangreb og cookie-kapring, hvad er en cookie og hvad har det at gøre med mit privatliv? [MakeUseOf Explains] Hvad er en cookie, og hvad har det at gøre med mit privatliv? [MakeUseOf Explains] De fleste mennesker ved, at der er cookies spredt over hele internettet, klar og villig til at blive spist op af hvem, der først kan finde dem. Vent, hvad? Det kan ikke stemme. Ja, der er cookies ... Læs mere to yderligere sårbarheder på SSL-aktiverede websteder. Og ud over at gøre et websted mere sikkert, vil HSTS gøre websteder hurtigere indlæst ved at fjerne et trin i indlæsningsproceduren.

Hvad er SSL stripping?

Selvom HTTPS er en enorm forbedring fra HTTP, er det ikke uundgåeligt at blive hacket. SSL stripping er et meget almindeligt MITM-hack til websteder, der bruger omdirigering til at sende brugere fra en HTTP til HTTPS-versionen af ​​deres websted.

301 (permanent) og 302 (midlertidig) omdirigering fungerer dybest set:

  1. En bruger skriver google.com i deres browsers adresselinje.
  2. Browseren prøver oprindeligt at indlæse http://google.com som standard.
  3. "Google.com" er konfigureret med en permanent omdirigering af 301 til https://google.com .
  4. Browseren ser omdirigeringen og indlæser https://google.com i stedet.

Med SSL-stripping kan hackeren bruge tiden mellem trin 3 og trin 4 til at blokere omdirigeringsanmodningen og forhindre browseren i at indlæse den sikre (HTTPS) version af webstedet. Når du derefter får adgang til en ikke-krypteret version af webstedet, kan alle data, du indtaster, stjålet.

Hackeren kan også omdirigere dig til en kopi af det websted, du prøver at få adgang til, og fange alle dine data, når du indtaster dem, selvom det ser sikkert ud.

Google har implementeret trin i Chrome for at stoppe nogle typer omdirigeringer. At aktivere HSTS skal dog være noget, du gør som standard for alle dine websteder fra nu af.

Hvordan stopper aktivering af HSTS SSL-stripping?

Aktivering af HSTS tvinger browseren til at indlæse den sikre version af et websted og ignorerer enhver omdirigering og ethvert andet opkald for at åbne en HTTP-forbindelse. Dette lukker den omdirigeringssårbarhed, der findes med en 301 og 302-omdirigering.

Der er en negativ side endog med HSTS, og det er, at en brugers browser skal se HSTS-overskriften mindst en gang, før den kan drage fordel af den til fremtidige besøg. Dette betyder, at de bliver nødt til at gennemgå HTTP> HTTPS-processen mindst en gang, så de er sårbare, første gang de besøger et HSTS-aktiveret websted.

For at bekæmpe dette indlæser Chrome en liste over websteder, der har HSTS aktiveret. Brugere kan selv indsende HSTS-aktiverede websteder til listen med forudindlæst, hvis de passer til de krævede (enkle) kriterier.

HSTS-indlæsningskontrol

Websteder, der er føjet til denne liste, bliver hardkodet til fremtidige versioner af Chrome-opdateringer. Det sørger for, at alle, der besøger dine HSTS-aktiverede websteder i opdaterede versioner af Chrome, forbliver sikre.

Firefox, Opera, Safari og Internet Explorer har deres egen HSTS-indlæsningsliste, men de er baseret på Chrome-listen på hstspreload.org.

Sådan aktiveres HSTS på dit websted

For at aktivere HSTS på dit websted skal du først have et gyldigt SSL-certifikat 7 Årsager til, at dit websted har brug for et SSL-certifikat 7 grunde til, at dit websted har brug for et SSL-certifikat. Det betyder ikke noget, om du udvikler en beskeden blog eller en fuld e-handel site: du har brug for et SSL-certifikat. Her er nogle praktiske grunde til. Læs mere . Hvis du aktiverer HSTS uden en, vil dit websted ikke være tilgængeligt for enhver besøgende, så sørg for, at dit websted og eventuelle underdomæner fungerer over HTTPS, før du fortsætter.

Det er ret let at aktivere HSTS. Du skal blot tilføje en header til .htaccess-filen på dit websted. Den overskrift, du skal tilføje, er:

 Strict-Transport-Security: max-age=31536000; includeSubDomains

Dette tilføjer en cookie med maksimal aldersadgang på et år (hvad er en cookie? Cookies er ikke alle dårlige: 6 grunde til at forlade dem aktiveret i din browser Cookies er ikke alle dårlige: 6 grunde til at forlade dem aktiveret i din browser Er cookies virkelig alt det, der er dårligt? Sætter de din sikkerhed og privatliv i fare, eller er der gode grunde til at aktivere cookies? Læs mere), som inkluderer dit websted og eventuelle underdomæner. Når en browser har adgang til webstedet, kan den ikke få adgang til den usikrede HTTP-version af webstedet i et år. Sørg for, at alle underdomæner på dette domæne er inkluderet i SSL-certifikatet, og at HTTPS er aktiveret. Hvis du glemmer dette, er underdomænerne ikke tilgængelige, når du har gemt .htaccess-filen.

Websteder, der mangler optionen includeSubDomains, kan udsætte besøgende for privatlivslækager ved at lade underdomæner manipulere cookies. Med includeSubDomains aktiveret, er disse cookie-relaterede angreb ikke mulige.

Bemærk: Inden du tilføjer den maksimale alder på et år, skal du teste hele dit websted med maksimalt fem minutter ved at bruge: max-age = 300;

Google anbefaler endda, at du tester dit websted og dets ydeevne (trafik) med en værdi på en uge og en måned, inden du implementerer en maksimal alder på to år.

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains

Oprettelse af HSTS-indlæsningsliste

I øjeblikket skal du være bekendt med HSTS, og hvorfor det er vigtigt for dit websted at bruge det. At holde dine besøgende på websitet sikkert online bør være et nøgleelement i din webstedsplan.

For at være berettiget til den HSTS-forindlæsseliste, som Chrome og andre browsere bruger, skal dit websted opfylde følgende krav:

  1. Server et gyldigt SSL-certifikat.
  2. Omdiriger fra HTTP til HTTPS på den samme vært, hvis du lytter på port 80.
  3. Server alle underdomæner via HTTPS. Du skal især understøtte HTTPS til www.subdomain, hvis der findes en DNS-post til det underdomæne.
  4. Server en HSTS-header på basedomænet til HTTPS-anmodninger:
    • Den maksimale alder skal være mindst 31536000 sekunder (1 år).
    • Direktivet om inkludererSubDomains skal specificeres.
    • Direktivet om forhåndsindlæsning skal specificeres.
    • Hvis du betjener en yderligere omdirigering fra dit HTTPS-sted, skal denne omdirigering stadig have HSTS-overskriften (snarere end den side, den omdirigerer til).

Hvis du vil føje dit websted til HSTS-indlæsningslisten, skal du sørge for at tilføje det påkrævede forindlæst- tag. Valgmuligheden “preload” betyder, at du vil have, at dit websted skal føjes til Chromes HSTS-preload-liste. Svarhovedet i .htaccess skal derefter se sådan ud:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Vi anbefaler, at du tilføjer dit websted til hstspreload.org. Kravene er temmelig lette at imødekomme, og det vil hjælpe med at beskytte dit websteds besøgende og potentielt forbedre dit websteds placering af søgemaskiner Hvordan fungerer søgemaskiner? Hvordan fungerer søgemaskiner? For mange mennesker er Google internettet. Det er uden tvivl den vigtigste opfindelse siden Internettet i sig selv. Og selvom søgemaskinerne har ændret sig meget siden, er de underliggende principper stadig de samme. Læs mere .

Udforsk mere om: HSTS, HTTPS, Online sikkerhed, SSL.