Wat is HSTS en hoe beschermt het HTTPS tegen hackers?
Advertentie
Misschien hebt u ervoor gezorgd dat SSL SSL is ingeschakeld op uw websites en dat het mooie beveiligingshangslot in uw browser groen is. U bent misschien de kleine beveiligingsman van HTTP, HTTP Strict Transport Security (HSTS), vergeten.
Wat is HSTS en hoe kan het uw site beveiligen?
Wat is HTTPS?
Hyper Text Transfer Protocol Secure (HTTPS) is een beveiligde versie van een website (HTTP). De codering wordt ingeschakeld met behulp van het Secure Sockets Layer (SSL) -protocol en wordt gevalideerd met een SSL-certificaat. Wanneer u verbinding maakt met een HTTPS-website, wordt de informatie die wordt overgedragen tussen de website en de gebruiker gecodeerd.
Deze codering helpt u te beschermen tegen gegevensdiefstal via MITM (Man-in-the-Middle-Attacks). De toegevoegde beveiligingslaag helpt ook de reputatie van uw website enigszins te verbeteren Demystify SEO: 5 handleidingen voor zoekmachineoptimalisatie die u helpen Demystify SEO: 5 handleidingen voor zoekmachineoptimalisatie die u helpen te beginnen Kennis van een zoekmachine vereist kennis, ervaring en veel proefversie en fout. U kunt beginnen met het leren van de basisprincipes en gemakkelijk veelvoorkomende SEO-fouten vermijden met behulp van vele SEO-gidsen die op internet beschikbaar zijn. Lees verder . Het toevoegen van een SSL-certificaat is zelfs zo eenvoudig dat veel webhosts het standaard gratis aan uw site toevoegen! Dat gezegd hebbende, HTTPS heeft nog steeds enkele fouten die HSTS kan helpen oplossen.
Wat is HSTS?
HSTS is een antwoordheader die een browser informeert dat ingeschakelde websites alleen toegankelijk zijn via HTTPS. Dit dwingt uw browser alleen toegang te krijgen tot de HTTPS-versie van de website en alle bronnen daarop.
Misschien weet u niet dat, hoewel u uw SSL-certificaat correct hebt ingesteld en HTTPS voor uw website hebt ingeschakeld, de HTTP-versie nog steeds beschikbaar is. Dit geldt zelfs als u het doorsturen hebt ingesteld met 301 Permanente omleiding.
Hoewel het HSTS-beleid al een tijdje bestaat, werd het pas formeel uitgerold door Google in juli 2016. Dat is de reden waarom je er nog niet veel van hebt gehoord.
Door HSTS in te schakelen, worden SSL-protocolaanvallen en het kapen van cookies gestopt. Wat is een cookie en wat heeft het te maken met mijn privacy? [MakeUseOf legt uit] Wat is een cookie en wat heeft het te maken met mijn privacy? [MakeUseOf legt uit] De meeste mensen weten dat er overal op het internet cookies zijn verspreid, klaar en bereid om opgegeten te worden door degene die ze het eerst kan vinden. Wacht wat? Dat kan niet kloppen. Ja, er zijn cookies ... Lees meer twee extra kwetsbaarheden in websites met SSL-ondersteuning. En naast het beveiligen van een website, zorgt HSTS ervoor dat sites sneller worden geladen door een stap in de laadprocedure te verwijderen.
Wat is SSL-stripping?
Hoewel HTTPS een enorme verbetering is ten opzichte van HTTP, is het niet onkwetsbaar dat het wordt gehackt. SSL-stripping is een veel voorkomende MITM-hack voor websites die omleiding gebruikt om gebruikers van een HTTP naar de HTTPS-versie van hun website te sturen.
301 (permanent) en 302 (tijdelijke) omleiding werkt in principe als volgt:
- Een gebruiker typt google.com in de adresbalk van zijn browser.
- De browser probeert aanvankelijk http://google.com als standaard te laden.
- 'Google.com' is ingesteld met een permanente omleiding van 301 naar https://google.com .
- De browser ziet de omleiding en laadt in plaats daarvan https://google.com .
Met SSL-stripping kan de hacker de tijd tussen stap 3 en stap 4 gebruiken om het omleidingsverzoek te blokkeren en te voorkomen dat de browser de beveiligde (HTTPS) versie van de website laadt. Aangezien u vervolgens toegang krijgt tot een niet-gecodeerde versie van de website, kunnen alle gegevens die u invoert, worden gestolen.
De hacker kan u ook omleiden naar een kopie van de website waartoe u toegang probeert te krijgen, en al uw gegevens vastleggen terwijl u deze invoert, zelfs als deze er veilig uitziet.
Google heeft stappen in Chrome geïmplementeerd om bepaalde soorten omleidingen te stoppen. Het inschakelen van HSTS zou vanaf nu standaard iets moeten zijn voor al uw websites.
Hoe stopt het inschakelen van HSTS het strippen van SSL?
Het inschakelen van HSTS dwingt de browser om de beveiligde versie van een website te laden en negeert elke omleiding en elke andere oproep om een HTTP-verbinding te openen. Hiermee wordt het beveiligingslek met betrekking tot omleiding gesloten dat bestaat bij een 301- en 302-omleiding.
Er is zelfs een negatieve kant aan HSTS, en dat is dat de browser van een gebruiker de HSTS-header minstens één keer moet zien voordat hij er voor toekomstige bezoeken gebruik van kan maken. Dit betekent dat ze het HTTP> HTTPS-proces minstens één keer moeten doorlopen, waardoor ze kwetsbaar blijven bij de eerste keer dat ze een HSTS-website bezoeken.
Om dit te bestrijden, laadt Chrome vooraf een lijst met websites waarop HSTS is ingeschakeld. Gebruikers kunnen HSTS-compatibele websites indienen bij de vooraf geladen lijst als ze voldoen aan de vereiste (eenvoudige) criteria.
Websites die aan deze lijst worden toegevoegd, worden gecodeerd in toekomstige versies van Chrome-updates. Het zorgt ervoor dat iedereen die uw HSTS-websites in bijgewerkte versies van Chrome bezoekt, veilig blijft.
Firefox, Opera, Safari en Internet Explorer hebben hun eigen HSTS-preloadlijst, maar ze zijn gebaseerd op de Chrome-lijst op hstspreload.org.
Hoe HSTS op uw website in te schakelen
Om HSTS op uw website in te schakelen, moet u eerst een geldig SSL-certificaat hebben 7 redenen waarom uw site een SSL-certificaat nodig heeft 7 redenen waarom uw site een SSL-certificaat nodig heeft Het maakt niet uit of u een bescheiden blog of een volledige e-commerce ontwikkelt site: u heeft een SSL-certificaat nodig. Hier zijn enkele praktische redenen waarom. Lees verder . Als u HSTS zonder inschakelt, is uw site niet beschikbaar voor elke bezoeker, dus zorg ervoor dat uw website en alle subdomeinen via HTTPS werken voordat u doorgaat.
HSTS inschakelen is vrij eenvoudig. U hoeft alleen een koptekst toe te voegen aan het .htaccess-bestand op uw site. De kop die u moet toevoegen is:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Dit voegt een maximumleeftijdcookie van één jaar toe (wat is een cookie? Cookies zijn niet allemaal slecht: 6 redenen om ze op uw browser te laten staan Cookies zijn niet allemaal slecht: 6 redenen om ze op uw browser te laten staan Zijn cookies echt vormen ze een risico voor uw veiligheid en privacy, of zijn er goede redenen om cookies in te schakelen? Lees meer), inclusief uw website en eventuele subdomeinen. Zodra een browser de website heeft geopend, heeft deze gedurende een jaar geen toegang tot de onbeveiligde HTTP-versie van de website. Zorg ervoor dat alle subdomeinen op dit domein zijn opgenomen in het SSL-certificaat en HTTPS hebben ingeschakeld. Als u dit vergeet, zijn de subdomeinen niet toegankelijk nadat u het .htaccess-bestand hebt opgeslagen.
Websites die de optie includeSubDomains missen, kunnen bezoekers blootstellen aan privacylekken door subdomeinen cookies te laten manipuleren. Als includeSubDomains is ingeschakeld, zijn deze cookiegerelateerde aanvallen niet mogelijk.
Opmerking: test voordat u de maximale leeftijd van één jaar toevoegt eerst uw volledige website met eerst maximale leeftijd van vijf minuten met behulp van: maximale leeftijd = 300;
Google beveelt zelfs aan dat u uw website en de prestaties (verkeer) test met een waarde van één week en één maand, voordat u een maximale duur van twee jaar implementeert.
Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains
De HSTS-preloadlijst maken
U moet inmiddels bekend zijn met HSTS en weten waarom het belangrijk is dat uw site het gebruikt. Uw websitebezoekers online veilig houden zou een belangrijk element van uw siteplan moeten zijn.
Om in aanmerking te komen voor de HSTS-preloadlijst die Chrome en andere browsers gebruiken, moet uw website aan de volgende vereisten voldoen:
- Serveer een geldig SSL-certificaat.
- Omleiden van HTTP naar HTTPS op dezelfde host, als u luistert op poort 80.
- Serveer alle subdomeinen via HTTPS. U moet met name HTTPS ondersteunen voor www.subdomain als er een DNS-record voor dat subdomein bestaat.
- Serveer een HSTS-header op het basisdomein voor HTTPS-aanvragen:
- De maximale leeftijd moet minimaal 31536000 seconden zijn (1 jaar).
- De includeSubDomains-richtlijn moet worden opgegeven.
- De richtlijn voorbelasting moet worden gespecificeerd.
- Als u een extra omleiding vanaf uw HTTPS-site aanbiedt, moet die omleiding nog steeds de HSTS-header hebben (in plaats van de pagina waarnaar deze omleidt).
Als u uw website aan de HSTS-preloadlijst wilt toevoegen, zorg er dan voor dat u de vereiste preload- tag toevoegt. De optie "vooraf laden" geeft aan dat u wilt dat uw website wordt toegevoegd aan de HSTS-voorlijst van Chrome. De antwoordkop in .htaccess zou er dan als volgt uit moeten zien:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
We raden u aan uw website toe te voegen aan hstspreload.org. Aan de vereisten is vrij eenvoudig te voldoen en het helpt de bezoekers van uw website te beschermen en mogelijk de positie van de zoekmachine van uw website te verbeteren. Hoe werken zoekmachines? Hoe werken zoekmachines? Voor veel mensen IS Google het internet. Het is misschien wel de belangrijkste uitvinding sinds het internet zelf. En hoewel zoekmachines sindsdien veel zijn veranderd, zijn de onderliggende principes nog steeds hetzelfde. Lees verder .
Ontdek meer over: HSTS, HTTPS, online beveiliging, SSL.