Defaults.Exposed › Parandused › HSTS (Strict-Transport-Security)
Kuidas parandada HSTS (Strict-Transport-Security)
HSTS on üherealine juhis, mille teie veebisait annab igale brauserile: 'tule alati minu juurde turvalise, krüpteeritud ühenduse kaudu — mitte ebaturvalise.' Ilma selleta saab teie tabaluku jagatud WiFis vaikselt eemaldada ning esimene külastus teie saidile on avatud.
Põhijareldus sinu ettevõttele: HTTPS-i olemasolu (tabalukk) ei ole sama kui selle jõustamine. Ilma HSTS-ita saab ründaja samas WiFis teie kliendiga vaikselt alandada ühenduse lihttekstiliseks, krüpteerimata HTTP-ks — jäädvustades sisselogimised, kaardisummad ja vormi andmed, samal ajal kui klient ei märka midagi erakorralist. Teie SSL-sertifikaat, mille eest võib-olla maksate, möödutakse. Parandus on tasuta ja võtab umbes 15 minutit kellelele, kes teie saiti haldab.
Mida see sulle maksab
- Kohviku, hotelli, lennujaama või konverentsi WiFis olevate klientide ühendus teie saidiga saab vaikselt alandada ja nende andmeid lugeda — nende ekraanil pole hoiatust.
- Maksate HTTPS-i eest ja teil on tabalukk, kuid HSTS-ita saavad ründajad lihtsalt selle ümber minna; sertifikaat annab vale turvatunde.
- Esimene külastus teie saidile (enne ümbersuunamist HTTPS-i) on nõrk koht, mida ründajad sihtivad — HSTS on see, mis sulgeb selle iga tagasipöördumise külastuse puhul.
- Turvakomplekt, küberveekindlustuse vorm või ettevõtte ostja kontrollnimekiri märgib 'HSTS puudub' ning peatab tehingu kuni see on parandatud.
- Seadke väärtus valesti (liiga lühikeseks) ja saate halvima mõlemast maailmast: see näib konfigureeritud, kuid pakub peaaegu mingit reaalset kaitset.
Miks see on oluline. HTTPS kaitseb ühendust, kui see on krüpteeritud — kuid see ei sunnib brausereid seda kasutama. Ründajad kasutavad seda lünka 'SSL-i eemaldamisega': mis tahes jagatud võrgus hoiavad nad külastaja vaikimisi turvamata HTTP-l, lugedes kõike. HSTS ütleb brauserile keelduda teie domeeni puhul täielikult lihttekstilisest HTTP-st pikaks ajaks, nii et lünk sulgub pärast esimest külastust. See on üks vastuse päis, tasuta lisada, ning meie hindamisel on selle väärtus reaalpunktid, sest puuduv või liiga lühike väärtus jätab iga avaliku WiFi külastaja avatud.
Mis see on lihtsas keeles
Teil on peaaegu kindlasti HTTPS — väike tabalukk brauseririba. Hea. Kuid siin on osa, mida peaaegu keegi ei öelda: HTTPS olemasolu ei ole sama kui selle jõustamine.
HTTPS muudab ühenduse krüpteerituks kui brauser otsustab seda kasutada. HSTS — lühend HTTP Strict Transport Security — on juhis, mis paneb brauseri alati seda kasutama. See on üks nähtamatu rida, mida teie veebisait saadab igale külastajale, mis sisuliselt ütleb:
“Nüüdsest alates, minu domeeni puhul, rääkige minuga ainult turvalise ühenduse kaudu. Mitte ebaturvalise. Ärge isegi proovige.”
Brauser mäletab seda ja järgib nii kaua, kui te olete käskinud — tavaliselt aasta. Pärast külastaja esimest turvalist külastust keeldub nende brauser lihtsalt teie saidi laadimisest lihtsa, krüpteerimata HTTP kaudu, isegi kui midagi proovib seda sundida.
Ilma HSTS-ita ei eksisteeri see “kasuta alati turvalist versiooni” reegel — ning ründajad teavad täpselt, kuidas lünka ära kasutada.
Mida see võib teile maksma minna
Need on realistlikud, igapäevased stsenaariumid.
-
Kohviku kassalaud. Klient avab teie poe kohviku WiFis ja läheb kassasse. Samas võrgus olev ründaja käivitab tasuta, tuntud tööriista, mis hoiab klienti HTTP-l HTTPS-i asemel. Klient näeb, mis näib teie tavalise saidina — pole hoiatust, pole katki tabalukku kohas, kuhu nad pilgu heidavad — ja kirjutab oma kaardisummad sisse. Ründaja loeb iga klahvivajutust. Teie SSL-sertifikaat ei teinud midagi, sest ühendus ei lastud kunagi turvaliseks saada.
-
Reisiv töötaja. Personaliliige logib sisse teie administraatoripaneeli või veebiposti hotelli või lennujaamast. Sama alandamistrikk jäädvustab nende kasutajanime ja parooli. Nüüd on ründajal viis teie ettevõttesse — mitte sellepärast, et teie paroolipoliitika oli nõrk, vaid sest sisselogimislehte sai saavutada ebaturvalise HTTP kaudu.
-
Tehing, mis peatub. Suurem klient saadab teile oma standardi turvakomplekti enne allkirjastamist. Üks rida küsib: “Kas teie veebisait jõustab HTTPS-i HSTS-i kaudu?” Teie IT-kontakt peab vastama “ei” ning hankimine peatub, samal ajal kui kiirustate parandama tasuta, 15-minutilist seadistust, mis nüüd näib punase lipuna ostja ees.
-
Küberveekindlustuse või vastavuse kontroll. Kindlustusandja skannimine või andmekaitsepositsiooni ülevaatav audiitor märgib puuduva päise. Isikuandmete krüpteerimine on selge ootus andmekaitseseaduste all (GDPR artikkel 32), ning “meil on sertifikaat, kuid me ei jõusta seda” on nõrk koht, kus seista.
-
Vale turvatunne. Maksate SSL-i eest, tabalukk näitab ning kõik eeldavad, et sait on turvaline. Enamasti on — kuni klient on jagatud võrgus, mis on täpselt siis, kui nad on kõige haavatavamad ja kõige vähem tõenäoline, et märkavad midagi valesti.
Läbiv joon: kulu pole abstraktne. See on päris kliendi kaart või sisselogimine, jäädvustatud halvimal võimalikul hetkel, ilma ühegi häireta.
Mis see tegelikult on
Kui brauser küsib teie veebisaidilt lehte, saadab teie server lehe tagasi koos mõne nähtamatu “päisega” — lisajuhised, mida brauser loeb, kuid külastaja ei näe. HSTS on üks nendest päistest:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Kolm osa on olulised:
max-age— kui kaua (sekundites) brauser peaks meeles pidama HTTPS-i sundimist.31536000on üks aasta. See on selle süda: liiga lühike ja see aitab vaevalt.includeSubDomains— laiendage reegel igale alamdomeenile (shop.,app.,mail.jne), mitte ainult teie peamisele aadressile.preload— loobuge oma domeen brauseritesse sisseehitatud ülemloendisse, nii et kaitse kehtib isegi külastaja kõige esimese päringu puhul, enne kui nad on teie saiti kunagi näinud.
Miks “esimene külastus” on oluline
HSTS-il on üks sisemine piirang: brauser järgib reeglit ainult pärast päise vähemalt ühe korra nägemist. Seega on uue külastaja kõige esimene ühendus ikka väike avatus. Kaks asja kitsendavad seda: HTTP-st HTTPS-i ümbersuunamine (mis viib nad kiiresti turvalisse versiooni) ja preload (mis eemaldab akna täielikult).
Milline näeb välja “hea” — ja kuidas hinnatakse
Meie kontroll loeb teie reaalajas päise ja hindab max-age:
| max-age väärtus | Mida see tähendab | Tulemus |
|---|---|---|
| 1 aasta või rohkem (≥ 31536000) | Suurepärane — soovitatav seadistus | Täispunktid |
| 6 kuud või rohkem (≥ 15768000) | Hea, kuid mitte täis aasta | Osaline |
| 1 päev või rohkem (≥ 86400) | Nõrk — liiga lühike usaldusväärseks | Madal / osaline |
| Alla 1 päeva, või päist pole | Sisuliselt kaitseta | Ebaõnnestub (kõrge raskus) |
Seega päis, mis eksisteerib, kuid on seatud mõnele minutile, käsitletakse ebaõnnestumisena — see näib konfigureeritud, kuid ei tee oma tööd. Eesmärgiks üks aasta. Kontroll märgib ka seda, kas includeSubDomains ja preload on olemas.
Kuidas seda parandada (tasuta, ~15 minutit)
Andke see jaotis kellelele, kes haldab teie veebisaiti — teie IT-inimesele, veebiarendajale või hostiteenuse toele. Parandus on tasuta. See on üks päis või lüliti teie hostimisplatvormil. Pole midagi osta.
Esmalt üks oluline järjekorra reegel: HSTS on kleepuv — kui see on lubatud, keelduvad brauserid lihtteksti HTTP-st teie domeeni puhul kogu max-age aja jooksul. Seega kinnitage, et HTTPS töötab õigesti teie põhisaidil ja kõigil alamdomeenidel enne laial lubamist. Ohutu tee on: testige lühikese väärtusega → kinnitage, et midagi ei lõhu → tõstke aastale.
1. samm — Veenduge, et HTTPS töötab kõikjal
Külastage oma saiti ja põhialamdomeene https:// kaudu ning kinnitage, et need laadivad puhtalt kehtiva sertifikaadiga. Kinnitage ka, et lihtteksti http:// päringud suunatakse https:// ümber. (Kui mitte, parandage esmalt HTTP-st HTTPS-i ümbersuunamine — HSTS eeldab selle olemasolu.)
2. samm — Lisage päis (valige oma platvorm)
Cloudflare (või sarnane CDN): See on lihtsaim. Minge SSL/TLS → Servasertifikaadid → HTTP Strict Transport Security (HSTS) ja lubage see. Seadke Max-Age 6 kuule või 12 kuule ning lubage “Rakenda HSTS poliitika alamdomeenidele”, kui olete kindel, et kõik alamdomeenid on HTTPS-il.
Nginx: lisage oma HTTPS server bloki sisse:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Apache: veenduge, et mod_headers on lubatud, seejärel lisage oma HTTPS virtuaalhostile:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Microsoft IIS: lisage web.config-i <customHeaders> sisse:
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
Google Workspace / Microsoft 365 märkus: need käitavad teie meili, mitte teie veebisaidi hostimist — HSTS seadistatakse kus iganes teie avalik veebisait tegelikult asub (teie CDN-is, veebiserveri või saidiehitajas), mitte Workspace/365 administraatoris.
3. samm — Testige väikselt, seejärel pühenduge
Alustage max-age=300-ga (5 minutit). Kinnitage, et sait laadib kõikjal täiuslikult. Seejärel tõstke max-age=31536000-le (üks aasta). See on täispunktide seadistus.
4. samm (valikuline, kuldstandard) — eellaadimine
Kui olete kindel ja olete mõnda aega käivitanud aasta pikkust päist koos includeSubDomains-iga, võite esitada oma domeeni hstspreload.org-il, et see oleks brauseritesse küpsetatud. See sulgeb esimese külastuse akna täielikult. Käsitlege seda teadliku kohustusena — domeeni nimekirjast eemaldamine on aeglane.
Levinud vead
max-ageliiga lühikeseks seadmine. Mõne minuti või tunni väärtus näib konfigureeritud, kuid pakub peaaegu mingit kaitset — ning meie kontroll käsitleb kõike alla päeva ebaõnnestumisena. Kasutage aastat.includeSubDomainssisselülitamine enne, kui alamdomeenid on HTTPS-valmis. Kui alamdomeenil pole täielikku HTTPS-i, võib kleepuv reegel muuta selle külastajatele kättesaamatuks. Viige esmalt kõik alamdomeenid HTTPS-ile.- HSTS lisamine, kuid HTTP-st HTTPS-i ümbersuunamine puudub. HSTS eeldab, et külastajad jõuavad turvalisse versiooni; ilma ümbersuunamiseta on esimene külastus tarbetult avatud. Parandage mõlemad koos.
- Eellaadimisele otse hüppamine, et “põhjalik olla”. Eellaadimine on raske tagasi võtta. Teenige see järk-järgult pärast stabiilset aasta pikkust päist — ärge rutake sellega.
- Eeldamine, et tabalukk tähendab, et olete kaitstud. Tabalukk ja HSTS on erinevad asjad. Teil võib olla täiuslik sertifikaat ja ikka selle kontrolli läbi kukkuda.
KKK
Meil on juba HTTPS ja tabalukk näitab. Kas see pole piisav?
Ei — ja see on üksik kõige levinum arusaamatus. Tabalukk tähendab, et ühendus KAN olla krüpteeritud; see ei sunni brausereid krüpteeritud versiooni kasutama. Ilma HSTS-ita saab samas võrgus olev ründaja hoida külastaja lihtsa HTTP-l (mida nimetatakse SSL-i eemaldamiseks) ja lugeda kõike, mida nad kirjutavad, samal ajal kui klient näeb normaalset näivat saiti. HSTS on juhis, mis muudab 'ainult krüpteeritud' kohustuslikuks. HTTPS ilma HSTS-ita on lukustatud uks, mida tegelikult pole paugutatud.
Kas see on kallis või riskantne sisse lülitada?
Parandus ise on tasuta — see on üks rida teie veebiserveri seadetes või lüliti teie CDN-is — ning võtab umbes 15 minutit. Üks reaalne ettevaatusmeede: HSTS on kleepuv. Kui brauser näeb seda, keeldub ta teie domeeni puhul lihtsa HTTP-st nii kaua, kui olete täpsustanud. Seega peate kindlad olema, et HTTPS töötab teie põhisaidil JA kõigil alamdomeenidel enne laia lubamist. Alustage lühikese testväärtusega, kinnitage, et midagi ei lõhu, seejärel tõstke aastani. Selles järjestuses on risk tühine.
Milline näeb 'hea' tegelikult välja?
Vähemalt aasta max-age (31536000 sekundit). Meie kontroll annab täispunktid aasta juures või rohkem, osalisi punkte kuue kuu juures, nõrga/osalisi ühe päeva juures, ja käsitleb kõike alla päeva sisuliselt puuduva. Tugevaim seadistus lisab ka includeSubDomains (katab shop.teiedsait.com, app.teiedsait.com jne) ja preload (küpsetab kaitse brauseritesse, nii et isegi esimene külastus on turvaline).
Mis on 'eellaadimise' ja kas me vajame seda?
HSTS kaitseb külastajat alles PÄRAST seda, kui nende brauser on päise vähemalt korra näinud — seega on uue külastaja esimene ühendus ikka väike avatus. HSTS-i eellaadimise nimekiri, mis on sisseehitatud Chrome'i, Firefoxi, Safari ja Edge'i, sulgeb selle akna, saates teie domeeni brauseritele ette. See on valikuline ja mõnevõrra suurem kohustus (eemaldamine on aeglane), kuid see on kuldstandard. Enamiku väikeettevõtete jaoks on aasta max-age koos includeSubDomains-iga juba tugev, turvaline tulemus; eellaadimine on lisasamm, kui olete kindlustunud.
Oleme Squarespace'il / Wixil / Shopifys — kas peame üldse midagi tegema?
Enamik täiesti hostitud saidiehitajaid (Squarespace, Wix, Shopify ja sarnased) jõustavad HTTPS-i ja seadistavad sageli HSTS-i teie eest automaatselt — seega võite juba läbida ilma midagi tegemata. Erand on siis, kui kasutate kohandatud domeeni või CDN-i oma saidi ees; seejärel võib seadistus lünkadesse kukkuda. Käivitage kontroll: kui see läbib, olete valmis. Kui see märgib, on parandus lüliti teie platvormi SSL/turvaseadetes või üks rida teie CDN-is.
Kui me ei paranda, kas see alandab meie hinnet?
Jah. HSTS on hindamisväärt veebiturvalisuse kontroll, mitte informatiivne — puuduv või liiga lühike päis maksab punkte ja on hinnatud kõrge raskusega, sest see avab otseselt teie külastajate andmed jagatud võrkudel. See on ka üks odavamaid punkte taastada: üks tasuta päis, umbes 15 minutit tööd.