HSTS

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 28. maj 2022; verifikation kræver 1 redigering .

HSTS (forkortet fra engelsk  HTTP Strict Transport Security ) er en mekanisme, der tvangsaktiverer en sikker forbindelse via HTTPS-protokollen . Denne sikkerhedspolitik giver dig mulighed for straks at oprette en sikker forbindelse i stedet for at bruge HTTP-protokollen. Mekanismen bruger en speciel header Strict-Transport-Security til at tvinge browseren til at bruge HTTPS-protokollen, selv når du følger links, der eksplicit angiver HTTP-protokollen ( http:// ). Mekanismen er beskrevet i RFC6797 i november 2012.

HSTS hjælper med at forhindre nogle af de angreb, der har til formål at opsnappe forbindelsen mellem brugeren og hjemmesiden, især angrebet med et fald i graden af ​​beskyttelse og tyveri af cookies (cookies) .

Yderligere beskyttelse for https-forbindelser er tilvejebragt af Certifikat-pinning -metoderne (lagring af en liste over certifikater eller CA'er , der er tilladt for et domæne i browserens kildekode) og HTTP Public Key Pinning . De forhindrer mange muligheder for at forfalske https-serverens tls-certifikater.

Specifikation

Specifikationen er udviklet og foreslået af Jeff Odge (=JeffH, Paypal ), Adam Barth ( UC Berkeley ), Colin Jackson ( Carnegie Mellon University ). Efter diskussion i IETF WebSec Working Group blev specifikationen accepteret som en RFC den 19. november 2012.

Mekanisme

Serveren kommunikerer HSTS-politikker med en speciel header, når der oprettes forbindelse over krypteret HTTPS (HSTS-headeren ignoreres, når der oprettes forbindelse over ukrypteret HTTP) [1] . For eksempel sender Wikipedia-serverne en HSTS-header med en 1-årig gyldighedsperiode, der forplanter sig til alle underdomæner (max-age feltet angiver gyldighedsperioden i sekunder, værdien 31536000 svarer cirka til et år): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Når et websted håndhæver en HSTS-politik, skal brugerbrowsere, der korrekt forstår HSTS-headeren, [2] :

1. Konverter automatisk alle http-links til dette websted til https-links offline. (F.eks. vil browseren bruge https://ru.wikipedia.org/wiki/HSTS i stedet for http://ru.wikipedia.org/wiki/HSTS , konverteringen vil ske, før serveren faktisk kontaktes.)
2. Hvis sikkerheden af ​​https-forbindelsen ikke kan verificeres (især hvis TLS - serverens certifikat ikke er signeret med en betroet nøgle), vil en fejlmeddelelse blive vist, og brugeren vil blive nægtet adgang til webstedet [3] .

HSTS-politikker på plads hjælper med at beskytte webstedsbrugere mod både passive og aktive angreb [4] . MiTM- angreb bliver meget sværere.

Statisk liste over HSTS

Den originale version af HSTS beskytter ikke en brugers første forbindelse til et websted. En angriber kan nemt opsnappe den første forbindelse, hvis den er over http. For at bekæmpe dette problem bruger de fleste moderne browsere en ekstra statisk liste over websteder ( HSTS preload list ), der kræver brug af https-protokollen. En sådan liste er blevet udarbejdet af forfatterne af Google Chrome / Chromium siden 2010 [5] [6] , baseret på hvilke lignende lister er kompileret til Microsoft-browsere (Edge og Internet Explorer , siden 2015) [7] , Safari [8] og Mozilla Firefox (siden 2012) [9] . En sådan liste inkluderer efter anmodning websteder, der bruger HSTS-headeren med en maksimal term og preload -flaget og ikke planlægger at opgive https [9] , men teknologien skalerer ikke godt [8] .

Ved udgangen af ​​2014 var der mere end tusinde domæner på den statiske liste, omkring en fjerdedel af dem var Google-domæner [10] .

Brug

• På klientsiden
  • Chromium 4 og alle browsere baseret på det [11] .
  • Firefox 4 [12]
  • NoScript [13]
• På webstedssiden (alle anførte er inkluderet i HSTS preload-listen ) [14] :
  • Google
  • Wikia
  • PayPal
  • Wikipedia
  • Twitter

Sporing med HSTS

HSTS kan bruges til hårdt at undertrykke browsere med meget vedvarende tags (se også Supercookies ) uanset brugen af ​​inkognitotilstand. [femten]

Mozilla Firefox-browseren siden version 85 tilbyder anti-sporingsværktøjer baseret på HSTS-cache [16] .

Se også

• HTTPS overalt

Noter

1. ↑ HTTP Strenge transportsikkerhed . Mozilla Developer Network . Hentet 12. juni 2015. Arkiveret fra originalen 18. marts 2014. (ubestemt)
2. ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. Afsnit 5. Oversigt over HSTS-mekanismer . RFC 6797 . IETF (november 2012). Hentet 21. november 2012. Arkiveret fra originalen 26. februar 2020. (ubestemt)
3. ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. Afsnit 12.1. Ingen brugeranvendelse . RFC 6797 . IETF (november 2012). Hentet 30. juni 2014. Arkiveret fra originalen 26. februar 2020. (ubestemt)
4. ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. 2.3. Trusselsmodel . RFC 6797 . IETF (november 2012). Hentet 21. november 2012. Arkiveret fra originalen 26. februar 2020. (ubestemt)
5. ↑ HSTS Arkiveret 3. april 2018 på Wayback Machine / Chromium - Forudindlæste HSTS-websteder
6. ↑ https://hstspreload.appspot.com/ Arkiveret 7. februar 2015 på Wayback Machine Denne formular bruges til at indsende domæner til medtagelse i Chromes liste over forhåndsindlæsninger af HTTP Strict Transport Security (HSTS).
7. ↑ HTTP Strict Transport Security kommer til Internet Explorer 11 på Windows 8.1 og Windows 7 Arkiveret 27. november 2019 på Wayback Machine / Microsoft Enge Blog, 2015-06-09
8. ↑ 12 HSTS- forindlæsning . Hentet 17. september 2015. Arkiveret fra originalen 3. april 2018. (ubestemt)
9. ↑ 1 2 Forudindlæsning af HSTS Arkiveret 24. februar 2020 på Wayback Machine / Mozilla Security Blog, 2012
10. ↑ Opgradering af HTTPS in Mid-Air: An Empirical Study of Strict Transport Security and Key Pinning Arkiveret 4. marts 2016 på Wayback Machine / NDSS '15, 8.-11. februar 2015 // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.23162
11. ↑ Adam Barth. Sikkerhed i dybden: Nye sikkerhedsfunktioner  (engelsk)  (link ikke tilgængeligt) . Chromium Blog (26. januar 2010). Hentet 19. november 2010. Arkiveret fra originalen 13. august 2011.
12. ↑ Sid Stamm. HTTP Strict Transport Security er landet!  (engelsk)  (utilgængeligt link) (26. august 2010). Hentet 19. november 2010. Arkiveret fra originalen 4. juli 2012.
13. ↑ George. Streng transportsikkerhed i NoScript  (engelsk)  (link utilgængeligt) (23. september 2009). Hentet 19. november 2010. Arkiveret fra originalen 4. juli 2012.
14. ↑ Forudindlæste HSTS-websteder Arkiveret 18. februar 2020 på Wayback Machine /Chromium
15. ↑ HSTS-supercookien, der tvinger dig til at vælge: "privatliv eller sikkerhed?" - . sophos.com . Hentet 1. december 2015. Arkiveret fra originalen 11. februar 2020. (ubestemt)
16. ↑ Firefox 85 slår ned på Supercookies - Mozilla Security Blog - . mozilla.org . Hentet 19. februar 2021. Arkiveret fra originalen 3. februar 2021. (ubestemt)

Links

• HTTP Strict Transport Security (HSTS) specifikation RFC 6797 , nov 2012  
• Opgradering af HTTPS in Mid-Air: An Empirical Study of Strict Transport Security and Key Pinning / NDSS '15, 8.-11. februar 2015 // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.23162 )