Mikä on HSTS?

HSTS on verkkoturvallisuusvastausotsikko. Nimi on lyhenne sanoista "HTTP Strict Transport Security". HSTS-otsikon tehtävänä on pakottaa selaimet muodostamaan yhteys verkkosivustoille HTTPS:n avulla.

Vinkki: HTTPS käyttää salausta suojatakseen verkkoyhteytesi hakkereilta, jotka yrittävät muokata tai valvoa sitä. HTTP:llä ei ole näitä suojauksia, joten oikeassa paikassa oleva hakkeri voi valvoa ja muokata HTTP-liikennettäsi.

Verkkovastausotsikko on metatieto, jonka palvelin lähettää, kun se vastaa verkkopyyntöihin. Osaa näistä otsikoista kutsutaan usein turvallisuusotsikoiksi, koska niiden tarkoituksena on lisätä verkkosivuston ja käyttäjän turvallisuutta.

HSTS-otsikossa on kaksi pakollista osaa ja kaksi valinnaista. Otsikon nimi "Strict-Transport-Security" ja sitten "max-age"-operaattori ja arvo ovat molemmat pakollisia. Joskus käytetään myös toista operaattoriparia, "includeSubDomains" ja "preload".

Kun selain vastaanottaa HTTPS-vastauksen, jossa on HSTS-otsikko, sitä kehotetaan muodostamaan yhteys tälle verkkosivustolle ja kaikkiin sen resursseihin käyttämällä yksinomaan HTTPS:ää "max-age" -ajastimen ajan. "Max-age" on muuttuja, joka kuvaa kuinka kauan selaimen tulee muistaa jokin asetus. Arvo “max-age” on lueteltu sekunneissa, suositeltu arvo on “31536000”, joka on yksi vuosi.

Ajatuksena on, että tämän ajastimen aikana, joka nollataan jokaisen seuraavan sivulatauksen yhteydessä, selain vaatii HTTPS-yhteyden ja hylkää kaikki HTTP-resurssit. Tämä suojaa henkilö-in-the-middle-hyökkäyksiltä, ​​joissa sinun ja verkkopalvelimen välinen hakkeri voi manipuloida saamiasi vastauksia.

Tärkein kohta, jossa tämä suojaa sinua, on ensimmäinen yhteys. Kun muodostat yhteyden verkkosivustoon, voit yleensä pyytää HTTP-sivustoa ja sitten sinut ohjataan HTTPS-verkkosivustolle. Valitettavasti keskiasennossa oleva hakkeri voi estää tämän HTTPS-päivityksen ja varastaa tai valvoa toimintaasi verkkosivustolla. Kun selain on kuitenkin nähnyt HSTS-otsikon, selaimesi muodostaa jopa ensimmäisen yhteyden HTTPS:n kautta suojaten sinua hakkereilta.

HSTS estää myös suojaamattomien resurssien lataamisen, joita hyökkääjä voisi myös haitallisesti muokata, jos ne toimitettaisiin HTTP:n kautta.

"IncludeSubDomains"-operaattoria käytetään osoittamaan, että otsikon tulisi koskea myös kaikkia verkkosivuston aliverkkotunnuksia.

HSTS-esilatausluettelo

Saatat huomata, että HSTS ei silti suojaa sinua ensimmäisellä kerralla, kun muodostat yhteyden verkkosivustoon. Tässä "esilataus"-operaattori tulee mukaan. Verkkosivustot voivat ilmoittautua HSTS-esilatausluetteloon, "esilataus"-operaattori on pakollinen indikaattori, jos näin on. HSTS-esilatauslista päivitetään säännöllisesti ja tallennetaan selaimeen, jos sivusto on mukana, selain käyttää siihen HSTS-suojauksia. Tämä tapahtuu jopa ensimmäisessä yhteydessä ennen kuin selain olisi koskaan voinut nähdä HSTS-vastausotsikon.

Vinkki: HSTS:n esilatausluetteloon lisääminen edellyttää vähintään vuoden "enimmäis-ikä". 

HSTS-ongelmat

Yksi HSTS:n pääkohdista on, että se näyttää virheilmoituksen, jos HTTPS-yhteydessä on ongelmia. Ylimääräisenä turvatoimena käyttäjien ei pitäisi pystyä ohittamaan HSTS-virheilmoituksia, kuten he pystyisivät normaaleissa HTTPS-virheissä.

Valitettavasti tämä voi aiheuttaa ongelmia, jos yritys ottaa HSTS:n käyttöön ennen koko verkkosivustoa ja jokainen siinä käytetty resurssi tukee HTTPS:ää. Tässä tapauksessa käyttäjät alkavat nähdä HSTS-suojausvirheilmoituksia, joita he eivät voi ohittaa, mikä olennaisesti rikkoo verkkosivuston kokonaan. Pahinta on, että pelkkä HSTS-otsikon poistaminen ei korjaa ongelmaa näille käyttäjille, sillä heidän selaimensa jatkaa HSTS:n pakottamista mahdollisesti kuukauden pituisen "maksimiiän" ajan.

Sellaisenaan on erittäin tärkeää, että käytetään lyhyttä "maksimi-ikää", kun otsikko otetaan käyttöön ensimmäisen kerran. Jos ongelmia ilmenee, ne jatkuvat vain lyhyen aikaa, kun ne havaitaan. Vain kun olet varma, että verkkosivustosi on täysin HSTS-yhteensopiva, sinun tulee määrittää pitkä HSTS-ajastin.

Vinkki: On myös mahdollista asettaa "enimmäisikä" 0, mikä käytännössä poistaa tallennetun HSTS-merkinnän kaikilta, jotka näkevät sen. Tämä voi auttaa, jos ongelmia ilmenee, mutta se vaikuttaa käyttäjiin vain silloin, kun he päättävät yrittää uudelleen.