Механизм HSTS

Обновлено 2023-09-19 2 мин. для прочтения Computer-Science

HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS.

Содержание

1 Общая информация

HSTS защищает от даунгрейд-атак на TLS.
Указывает броузеру всегда использовать TLS для сайтов с соответствующими политиками.
Стандарт описан в RFC 6797.

Сервер сообщает о политиках HSTS с помощью специального заголовка при подключении по протоколу https.
При подключении по /http заголовок HSTS игнорируется.
Когда сайт применяет политику HSTS, пользовательские броузеры, корректно воспринимающие заголовок HSTS, должны:
- Автоматически автономно преобразовывать все http-ссылки на данный сайт в https-ссылки.
- Если безопасность соединения https не может быть проверена (в частности, если TLS-сертификат сервера не подписан доверенным ключом), будет показано сообщение об ошибке, и пользователь будет лишен доступа к сайту.

Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS.
В заголовке указан срок действия и применимость к субдоменам.

Исходный вариант HSTS не защищает первое подключение пользователя к сайту. Злоумышленник может легко перехватить первое подключение, если оно происходит по протоколу http.
Для борьбы с этой проблемой большинство современных броузеров использует дополнительный статический список сайтов (HSTS preload list), требующих использования протокола https.
Список составляется авторами Google Chrome с 2010 года.
На базе этого списка составляются подобные списки для других броузеров.

Настройки находятся по адресу chrome://net-internals/#hsts.
В Query HSTS/PKP domain укажем наш домен и нажмём Query для информации по настройке сайта.
В разделе Delete domain security policies указываем наш домен, нажимаем Delete.
Перезапускаем броузер.