HSTS

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 28.5.2022 tarkistetusta versiosta . vahvistus vaatii 1 muokkauksen .

HSTS (lyhennetty englanniksi  HTTP Strict Transport Security ) on mekanismi, joka pakottaa aktivoimaan suojatun yhteyden HTTPS-protokollan kautta . Tämän suojauskäytännön avulla voit muodostaa välittömästi suojatun yhteyden HTTP-protokollan käyttämisen sijaan. Mekanismi käyttää erityistä otsikkoa Strict-Transport-Security pakottaakseen selaimen käyttämään HTTPS-protokollaa, vaikka se seuraa linkkejä, jotka nimenomaisesti määrittävät HTTP-protokollan ( http:// ). Mekanismi on kuvattu RFC6797:ssä marraskuussa 2012.

HSTS auttaa estämään joitain hyökkäyksiä, joilla pyritään kaappaamaan yhteys käyttäjän ja verkkosivuston välillä, erityisesti suojausasteen alentamiseen liittyviä hyökkäyksiä ja evästeiden (evästeiden) varkauksia .

Lisäsuojausta https-yhteyksille tarjoavat sertifikaatin kiinnitysmenetelmät (jossa tallennetaan luettelo verkkotunnukselle sallituista varmenteista tai CA :ista selaimen lähdekoodiin) ja HTTP-julkisen avaimen kiinnitys . Ne estävät monet mahdollisuudet huijata https-palvelimen tls-varmenteita.

Tekniset tiedot

Spesifikaation ovat kehittäneet ja ehdottaneet Jeff Odge (=JeffH, Paypal ), Adam Barth ( UC Berkeley ), Colin Jackson ( Carnegie Mellon University ). IETF WebSec Working Groupissa käytyjen keskustelujen jälkeen spesifikaatio hyväksyttiin RFC:ksi 19. marraskuuta 2012.

Mekanismi

Palvelin välittää HSTS-käytännöt erityisellä otsikolla, kun se muodostaa yhteyden salatun HTTPS:n kautta (HSTS-otsikko jätetään huomioimatta, kun muodostetaan yhteys salaamattoman HTTP:n kautta) [1] . Esimerkiksi Wikipedia-palvelimet lähettävät HSTS-otsikon, jonka voimassaoloaika on yksi vuosi ja joka leviää kaikkiin aliverkkotunnuksiin (max-age -kenttä osoittaa voimassaoloajan sekunneissa, arvo 31536000 vastaa noin vuotta): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Kun sivusto pakottaa HSTS-käytännön, käyttäjäselaimien, jotka ymmärtävät HSTS-otsikon oikein, tulisi [2] :

  1. Muunna kaikki tämän sivuston http-linkit automaattisesti https-linkeiksi offline-tilassa. (Esimerkiksi osoitteen http://ru.wikipedia.org/wiki/HSTS sijaan selain käyttää https://ru.wikipedia.org/wiki/HSTS , muunnos tapahtuu ennen kuin palvelimeen todella otetaan yhteyttä.)
  2. Jos https-yhteyden turvallisuutta ei voida varmistaa (etenkin jos TLS - palvelimen varmenne ei ole allekirjoitettu luotettavalla avaimella), näytetään virheilmoitus ja käyttäjältä estetään pääsy sivustolle [3] .

Käytössä olevat HSTS-käytännöt auttavat suojaamaan sivuston käyttäjiä sekä passiivisilta että aktiivisilta hyökkäyksiltä [4] . MiTM- hyökkäykset muuttuvat paljon vaikeammiksi.

Staattinen luettelo HSTS:stä

HSTS:n alkuperäinen versio ei suojaa käyttäjän ensimmäistä yhteyttä sivustoon. Hyökkääjä voi helposti siepata ensimmäisen yhteyden, jos se on yli http. Tämän ongelman torjumiseksi useimmat nykyaikaiset selaimet käyttävät ylimääräistä staattista luetteloa sivustoista ( HSTS preload list ), jotka vaativat https-protokollan käytön. Tällaista listaa ovat koonneet Google Chrome / Chromiumin kirjoittajat vuodesta 2010 [5] [6] , jonka perusteella laaditaan vastaavia listoja Microsoftin selaimille (Edge ja Internet Explorer , vuodesta 2015) [7] , Safari [8] ja Mozilla Firefox (vuodesta 2012) [9] . Tällainen luettelo sisältää pyynnöstä sivustot, jotka käyttävät HSTS-otsikkoa maksimitermillä ja esilatauslipulla eivätkä aio luopua https:stä [9] , mutta tekniikka ei skaalaudu hyvin [8] .

Vuoden 2014 lopussa staattisella listalla oli yli tuhat verkkotunnusta, joista noin neljännes oli Googlen verkkotunnuksia [10] .

Käyttö

Seuranta HSTS:llä

HSTS:ää voidaan käyttää erittäin pysyvien tunnisteiden (katso myös superevästeet ) poistamiseen selaimet incognito-tilan käytöstä riippumatta. [viisitoista]

Mozilla Firefox -selain versiosta 85 lähtien tarjoaa HSTS-välimuistiin perustuvia seurantatyökaluja [16] .

Katso myös

Muistiinpanot

  1. HTTP Strict Transport Security . Mozilla Developer Network . Haettu 12. kesäkuuta 2015. Arkistoitu alkuperäisestä 18. maaliskuuta 2014.
  2. Hodges, Jeff; Jackson, Collin; Barth, Adam. Osa 5. HSTS-mekanismin yleiskatsaus . RFC 6797 . IETF (marraskuu 2012). Haettu 21. marraskuuta 2012. Arkistoitu alkuperäisestä 26. helmikuuta 2020.
  3. Hodges, Jeff; Jackson, Collin; Barth, Adam. Kohta 12.1. Ei käyttäjiä . RFC 6797 . IETF (marraskuu 2012). Haettu 30. kesäkuuta 2014. Arkistoitu alkuperäisestä 26. helmikuuta 2020.
  4. Hodges, Jeff; Jackson, Collin; Barth, Adam. 2.3. Uhkamalli . RFC 6797 . IETF (marraskuu 2012). Haettu 21. marraskuuta 2012. Arkistoitu alkuperäisestä 26. helmikuuta 2020.
  5. HSTS arkistoitu 3. huhtikuuta 2018 Wayback Machinessa / Chromiumissa - esiladatut HSTS-sivustot
  6. https://hstspreload.appspot.com/ Arkistoitu 7. helmikuuta 2015 Wayback Machinessa Tätä lomaketta käytetään verkkotunnusten lähettämiseen Chromen HTTP Strict Transport Securityn (HSTS) esilatausluetteloon sisällytettäviksi.
  7. HTTP Strict Transport Security tulee Internet Explorer 11:een Windows 8.1:ssä ja Windows 7 :ssä. Arkistoitu 27. marraskuuta 2019 Wayback Machinessa / Microsoft Enge Blogissa, 2015-06-09
  8. 12 HSTS- esilataus . Haettu 17. syyskuuta 2015. Arkistoitu alkuperäisestä 3. huhtikuuta 2018.
  9. 1 2 HSTS :n esilataus Arkistoitu 24. helmikuuta 2020 Wayback Machinessa / Mozilla Security Blog, 2012
  10. HTTPS:n päivittäminen ilmassa: Empiirinen tutkimus tiukasta kuljetusturvasta ja avainten kiinnittämisestä arkistoitu 4. maaliskuuta 2016 Wayback Machinessa / NDSS '15, 8.-11. helmikuuta 2015 // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.23162
  11. Adam Barth. Tietoturva perusteellisesti: uudet suojausominaisuudet  (englanniksi)  (linkki ei ole käytettävissä) . Chromium-blogi (26. tammikuuta 2010). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 13. elokuuta 2011.
  12. Sid Stamm. HTTP Strict Transport Security on laskeutunut!  (englanniksi)  (linkki ei saatavilla) (26. elokuuta 2010). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 4. heinäkuuta 2012.
  13. George. Strict Transport Security in NoScript  (englanniksi)  (linkki ei saatavilla) (23. syyskuuta 2009). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 4. heinäkuuta 2012.
  14. Esiladatut HSTS-sivustot arkistoitu 18. helmikuuta 2020 Wayback Machinessa / Chromiumissa
  15. HSTS-supereväste pakottaa sinut valitsemaan: "yksityisyys vai turvallisuus?" - . sophos.com . Haettu 1. joulukuuta 2015. Arkistoitu alkuperäisestä 11. helmikuuta 2020.
  16. Firefox 85 kaatuu superevästeisiin - Mozilla Security -blogi - . mozilla.org . Haettu 19. helmikuuta 2021. Arkistoitu alkuperäisestä 3. helmikuuta 2021.

Linkit