Kaj je HSTS (HTTP Strict Transport Security)?

HTTP Strict Transport Security je možno urediti oz. vklopiti za vse gostujoče domene pri nas.

HSTS je kratica za HTTP Strict Transport Security in je mehanizem spletne varnostne politike, ki pomaga zaščititi spletne strani (domene) pred napadi za spremembo protokola (ang. downgrade attacks) in s tem preprečiti zasego piškotkov (ang. cookie hijacking).

Spletnim strežnikom omogoča, da z direktivami sporoči brskalniku, da naj spletni brskalniki (ali drugi ustrezni uporabniški agenti) komunicirajo z njim z uporabo le varnih povezav https in ne več preko nezaščitenega protokola http.

HSTS je IETF standardni protokol določen z RFC 6797.

Omejitev HSTS protokola

Obstaja eno varnostno tveganje, saj začetna zahteva ostane nezaščitena pred aktivnimi napadi, če obiskovalec uporablja nezanesljiv protokol HTTP za dostop do spletnega mesta (domene). To je v času preusmeritve (301 redirect) iz nezaščitenega protokola http v varen, šifiran protokol https. Enako seveda velja tudi za prvi dostop po poteku oglaševane HTTP Strict Transport Security politike max-age (vsaj 1 leto: max-age=31536000).

Kaj je prednaložen seznam HSTS (HSTS preload list)?

Je seznam prednaloženih spletnih naslovov (domene, poddomene, itn.), kateri za dostop uporabljajo HSTS protokol. S tem se lastnik spletnega mesta izogne predhodno omejeni omejitvi protokola. Saj ko obiskovalec obišče dotični spletni naslov (domeno), njegov brskalnik iz prednaloženega seznama ve, da mora za dostop uporabite zgolj in samo varno https povezavo. In s tem se preproto izognete preusmeritvi iz http na https in omenjeni nevarnosti pred napadi za spremembo protokola (ang. downgrade attacks) in s tem preprečiti zasego piškotkov (ang. cookie hijacking).

Edina pomankljivost prednaloženega seznama HSTS je, da lahko traja nekaj tednov, da se na novo vpisan spletni naslov (domena, poddomena) doda na ta seznam. Ter v praksi traja še do nekaj mesecev, da so vsi brskalniki posodobljeni, tudi na strani obiskovalcev spletnih naslovov.

Za vpis domene na HSTS Preload List oz. prednaložen seznam HTTP Strict Transport Security je tudi pogojeno, da vključite tudi vse poddomene z direktivo includeSubDomains.

Več o HSTS Preload List Submission (dostop do sletne strani).

Ali naj uporabim HSTS na moji domeni in poddomenah?

Lahko, a nujno za dotično gostujočo domeno preverite, da ima vklopljeno SSL podporo in nameščen delujoči SSL certifikat. Torej, da je spletni naslov dostopen in deluje v celoti preko varnega https protokola. V nasprotnem primeru vklopite SSL podporo in namestite SSL certifikat ter počakajte, da sprememba stopi v veljavo. Za preusmeritev vseh http strani na https morate uporabiti 301 preusmeritve (301 redirect).

Več o HTTP Strict Transport Security (HSTS) (dostop do spletne strani).