什么是HSTS和如何实现它?

HTTP 严格传输安全 (HSTS) 是一个 Web 服务器指令,它告知用户代理和 Web 浏览器如何通过在开始时发送并返回到浏览器的响应标题处理其连接。谷歌于2016年7月29日正式推出HSTS安全政策。HSTS项目早在2009年就已初稿。HSTS 必要的七大要求及其对应不同系统的安装。

想象一下,如果你愿意,你是在你最喜欢的餐厅或刚刚回到你的酒店房间进行会议并且你想使用他们的免费Wi-Fi。您是否注意到他们的Wi-Fi密码打印在纸上,从未更改过?
一个恶毒的黑客在同一家旅馆订了一个房间。他们正在窃听这个不安全的无线网络上的所有连接。

在黑客的恶行中,有一种叫做"数据包嗅探器"的东西。数据包嗅探器是网络实用程序,用于分析并可能将任务注入通过目标网络传输的数据流中。

对于仅依赖301重定向从HTTP切换到HTTPS的任何网站,此黑客可以通过HTTP捕获您的网络流量。此方法为黑客提供了一个机会窗口,可以剥离您的SSL加密并窃取有价值的数据,甚至更糟的是,显示一个虚假的登录门户页面。

这就是为什么您的网站必须采用HTTP严格的运输安全,而不仅仅是HTTPS。获得SSL证书永远不够。

什么是HSTS?

HTTP严格传输安全(HSTS)是一个Web服务器指令,它告知用户代理和Web浏览器如何通过在开始时发送并返回到浏览器的响应标题处理其连接。

这设置了严格的运输安全策略现场参数。它通过HTTPS加密强制这些连接,而无视任何脚本通过HTTP加载该域中的任何资源的呼叫。HSTS只不过是Web服务器或Web托管服务的捆绑安全设置中的一个箭头。

您的公司为什么要实施HSTS?

你从来没有关闭你的实体店或家不锁门,对不对?您甚至可以在门口有金属探测器来控制收缩。数据可能与商店或家中的实物一样有价值,因此保持数据的锁定和安全同样重要。挂锁您的网站有时是不够的,因为人们仍然会找到一种方法,通过http://访问您的网站。HSTS强制浏览器和应用连接在可用的情况下使用HTTPS。即使有人只是输入www或http://

HTTPS是Google中的一个小排名因素,与页面速度和移动响应能力等许多其他因素一起被归类为"网站质量"分数。
设置从http://到https://的301重定向不足以完全保护您的域名。机会之窗仍然存在于HTTP的不安全重定向中。

黑客仍然可以捕获网站Cookie、会话ID(通常作为URL参数发送)或强制重定向到其网络钓鱼网站,看起来与您的网站完全一样。哎哟!
安装严格的运输安全头,坏人几乎不可能收集任何信息!连你的瑜伽时间表都没有!

HSTS的实现有多受欢迎?

这家价值数十亿美元的公司,谷歌于2016年7月29日正式推出HSTS安全政策。
HSTS项目早在2009年就已初稿。2015年6月8日,首席信息官托尼·斯科特(Tony Scott)签署了一份备忘录,而早在2015年,一项更为有力的努力就开始了。
Facebook、谷歌、Gmail、推特和PayPal只是当今实施HSTS的主要社交网络和支付门户。就连美国政府、总统办公厅也发出了一份备忘录M-15-13-政策,要求在联邦网站和网络服务之间建立安全连接。整个HSTS项目早在2009年就已初稿。

如何为您的网站实施HSTS?

如果您在内容结构中使用子域,则仅需要通配符证书来涵盖HTTPS。否则,您在域验证、组织验证或扩展验证SSL证书方面非常安全。确保已安装这些并正常工作。
下面的初始阶段将测试您的Web应用程序、用户登录和会话管理。它将每5分钟过期一次HSTS。继续测试一周一个月。解决部署中可能出现的任何问题。修改最大年龄=x。一周=604800:一个月=2592000。测试完成后附录预加载。
在您确信HSTS正在处理您的Web应用程序后,将最大年龄修改为63072000。那将是两年。这就是铬项目想要在您的预加载提交中看到的内容!

HSTS必要要求

  • 您的网站必须具有有效的SSL证书。您可以在GlobalSign的SSL检查器上检查SSL的有效性。
  • 将所有HTTP链接重定向到HTTPS,并重定向301。
  • 所有子域必须在您的SSL证书中涵盖。考虑订购通配符证书。
  • 为HTTPS请求在基础域上提供HSTS头。
  • 最大年龄必须至少为10886400秒或18周。去两年的价值,如上所述!
  • 包括下域指令必须指定,如果你有他们!
  • 必须指定预加载指令。

这些要求在2016年2月29日或之后仍然有效。如果未能保持这些要求,您的列表将被删除!如果出于任何原因,您需要从此列表中删除您的HTTPS专用域,请按照本指南执行。

Apache Web服务器上的HSTS安装

您可以在顶级文档根文件夹(如public_html或httpdoc)中将其添加到.htaccess文件中,详情可以点击链接Apache开启HSTS

用于Nginx的HSTS安装

开始配置之前您需要找到位于客户机的Nginx的etc/nginx/conf文件夹。添加代码,详情可以点击链接Nginx开启HSTS

用于IIS服务器的HSTS安装

先安装URL重写模块,然后在网站根目录创建web.config文件,详情可以点击链接IIS开启HSTS

什么是HSTS预加载?

HSTS 预加载是一个内置于浏览器中的函数,根据该功能,全球主机列表仅在其网站上强制使用 HTTPS。
此列表由铬项目汇编,由铬、火狐和野生动物园使用。这些站点不依赖于发布HSTS响应标题来执行策略。相反,浏览器已经意识到域名仅需要使用HTTPS,并在任何连接或通信发生之前推送HSTS。
这消除了攻击者拦截和篡改HTTP重定向的机会。此方案中仍需要HSTS响应标题,并且必须为未使用预加载HSTS列表的浏览器留用到位。

引用

HTTP 严格的运输安全已经存在了近八年了。此HTTPS只有网络基础设施中的策略才能将黑客排除在外,并保护您的敏感数据安全。它只需要几分钟来安装由您的网站站长或网络托管服务,并会提高您的SSL分数与全球标志的SSL检查器。

本文来自投稿,不代表乔客安全资讯立场,如若转载,请注明出处:https://www.qiaokr.com/article/2332

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注