Defaults.Exposed › Opravy › HSTS (Strict-Transport-Security)
Ako opraviť HSTS (Strict-Transport-Security)
HSTS je jednoriadková inštrukcia, ktorú váš web dáva každému prehliadaču: 'vždy sa ku mne vrát cez bezpečné, šifrované pripojenie — nikdy cez nezabezpečené.' Bez nej môže byť váš zámok ticho odstránený na zdieľanej WiFi a prvá návšteva vašej stránky je odhalená.
Podstata pre vaše podnikanie: Mať HTTPS (zámok) nie je to isté ako jeho vynucovanie. Bez HSTS môže útočník na rovnakej WiFi ako váš zákazník ticho degradovať pripojenie na obyčajné, nešifrované HTTP — zachytávajúc prihlásenia, údaje o karte a údaje formulárov, kým zákazník nevidí nič nesprávne. Váš SSL certifikát, za ktorý možno platíte, je obídený. Oprava je zadarmo a trvá asi 15 minút pre toho, kto spravuje vašu stránku.
Čo vás to môže stáť
- Zákazníci na WiFi v kaviarni, hoteli, letisku alebo na konferencii môžu mať svoje pripojenie k vašej stránke ticho degradované a ich dáta čítané — bez upozornenia na ich obrazovke.
- Zaplatili ste za HTTPS a máte zámok, ale bez HSTS môžu útočníci jednoducho obísť; certifikát dáva falošný pocit bezpečnosti.
- Práve prvá návšteva vašej stránky (pred akýmkoľvek presmerovaním na HTTPS) je slabé miesto, ktoré útočníci cieľujú — HSTS je to, čo ho uzatvára pre každú návratnú návštevu.
- Bezpečnostný dotazník, formulár kybernetického poistenia alebo kontrolný zoznam podnikového kupujúceho označí 'žiadny HSTS' a zastaví obchod, kým sa to neopraví.
- Nastavte hodnotu nesprávne (príliš krátku) a dostanete to najhoršie z oboch svetov: vyzerá nakonfigurované, ale neposkytuje takmer žiadnu skutočnú ochranu.
Prečo na tom záleží. HTTPS chráni pripojenie, keď je raz šifrované — ale nenúti prehliadače ho používať. Útočníci zneužívajú túto medzeru pomocou 'SSL stripping': na akejkoľvek zdieľanej sieti ticho udržujú návštevníka na nezabezpečenom HTTP a čítajú všetko. HSTS hovorí prehliadaču, aby odmietol obyčajné HTTP pre vašu doménu úplne, na dlhú dobu, takže medzera sa po prvej návšteve uzavrie. Je to jedna hlavička odpovede, zadarmo na pridanie a v našom hodnotení stojí za skutočné body, pretože chýbajúca alebo príliš krátka hodnota ponecháva každého návštevníka na verejnej WiFi odhalenom.
Čo to je, v jednoduchých slovách
Takmer určite máte HTTPS — malý zámok v paneli prehliadača. Dobre. Ale tu je časť, o ktorej takmer nikoho neinformujú: mať HTTPS nie je to isté ako jeho vynucovanie.
HTTPS robí pripojenie šifrovaným keď sa prehliadač rozhodne ho použiť. HSTS — skratka pre HTTP Strict Transport Security — je inštrukcia, ktorá núti prehliadač vždy ho používať. Je to jeden, neviditeľný riadok, ktorý váš web posiela každému návštevníkovi a ktorý v podstate hovorí:
“Odteraz, pre moju doménu, hovoríte so mnou vždy len cez bezpečné pripojenie. Nikdy cez nezabezpečené. Ani sa neskúste.”
Prehliadač si to zapamätá a dodržiava to po celú dobu, ktorú mu poviete — zvyčajne rok. Po prvej bezpečnej návšteve návštevníka ich prehliadač jednoducho odmietne načítať vašu stránku cez obyčajné, nešifrované HTTP, aj keď sa to niečo pokúsi vynútiť.
Bez HSTS toto pravidlo “vždy používajte bezpečnú verziu” neexistuje — a útočníci presne vedia, ako zneužiť medzeru.
Čo vás to môže stáť
-
Platba v kaviarni. Zákazník otvorí váš obchod na kafé WiFi a ide pokladniť. Útočník na rovnakej sieti spustí bezplatný, dobre známy nástroj, ktorý udržuje zákazníka na obyčajnom HTTP namiesto HTTPS. Zákazník vidí to, čo vyzerá ako vaša normálna stránka — žiadne upozornenie, žiadny rozbíjajúci sa zámok — a napíše údaje o karte. Útočník číta každý úder klávesy. Váš SSL certifikát nerobil nič, pretože pripojenie nikdy nebolo povolené stať sa bezpečným.
-
Cestujúci zamestnanec. Zamestnanec sa prihlási do vášho administrátorského panelu alebo webmailu z hotela alebo letiska. Ten istý trik degradácie zachytí jeho meno a heslo. Teraz má útočník cestu do vašej firmy.
-
Obchod, ktorý viazne. Väčší zákazník vám pošle ich štandardný bezpečnostný dotazník pred podpisom. Jeden riadok sa pýta: “Presadzuje váš web HTTPS cez HSTS?” Váš IT kontakt musí odpovedať “nie” a nákupný proces sa zastaví, kým sa neopraví bezplatné, 15-minútové nastavenie.
-
Kybernetické poistenie alebo kontrola zhody. Sken poisťovateľa alebo audítor kontrolujúci vašu ochranu dát označí chýbajúcu hlavičku. Šifrovanie osobných dát je explicitnou požiadavkou podľa pravidiel ochrany dát a “máme certifikát, ale nevynucujeme ho” je slabá pozícia.
-
Falošný pocit bezpečnosti. Platíte za SSL, zámok sa zobrazuje a každý predpokladá, že stránka je bezpečná. Väčšinou je — kým zákazník nie je na zdieľanej sieti, čo je presne vtedy, keď je najzraniteľnejší a najmenej pravdepodobný, že si niečo všimne.
Čo to v skutočnosti je
Keď prehliadač požiada váš web o stránku, váš server posiela späť stránku plus niektoré neviditeľné “hlavičky” — extra inštrukcie, ktoré prehliadač číta, ale návštevník nikdy nevidí. HSTS je jedna z týchto hlavičiek:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Dôležité sú tri časti:
max-age— ako dlho (v sekundách) si prehliadač pamätá vynútiť HTTPS.31536000je jeden rok. Toto je jadro: príliš krátke a takmer nepomáha.includeSubDomains— rozšíri pravidlo na každú subdoménu (shop.,app.,mail.atď.), nielen na vašu hlavnú adresu.preload— prihlási vašu doménu do hlavného zoznamu zabudovaného do prehliadačov, takže ochrana platí dokonca aj pri úplne prvom požiadavku návštevníka, skôr než vašu stránku vôbec videli.
Ako vyzerá ‘dobré’ — a ako sa hodnotí
Naša kontrola číta vašu živú hlavičku a hodnotí max-age:
| Hodnota max-age | Čo to znamená | Výsledok |
|---|---|---|
| 1 rok alebo viac (≥ 31536000) | Výborné — odporúčané nastavenie | Plné hodnotenie |
| 6 mesiacov alebo viac (≥ 15768000) | Dobré, ale nie celý rok | Čiastočné |
| 1 deň alebo viac (≥ 86400) | Slabé — príliš krátke na spoľahlivosť | Nízke / čiastočné |
| Pod 1 deň alebo žiadna hlavička | Skutočne žiadna ochrana | Zlyhanie (vysoká závažnosť) |
Ako to opraviť (zadarmo, ~15 minút)
Odovzdajte túto sekciu tomu, kto spravuje váš web — vášmu IT pracovníkovi, webovému vývojárovi alebo podpore hostingu. Oprava je zadarmo. Je to jedna hlavička alebo prepínač vo vašej hostingovej platforme. Nie je nič na kúpenie.
Jedno dôležité pravidlo poradia: HSTS je lepivý — keď je povolený, prehliadače odmietnu obyčajné HTTP pre vašu doménu po celý max-age. Takže potvrďte, že HTTPS správne funguje na vašej hlavnej stránke a každej subdoméne pred jeho širokým zapnutím. Bezpečná cesta je: test s krátkou hodnotou → potvrďte, že sa nič neporuší → zvýšte na jeden rok.
Krok 1 — Uistite sa, že HTTPS už všade funguje
Navštívte svoju stránku a kľúčové subdomény cez https:// a potvrďte, že sa načítavajú čisto s platným certifikátom. Tiež potvrďte, že požiadavky na obyčajné http:// presmerúvajú na https://.
Krok 2 — Pridajte hlavičku (vyberte si svoju platformu)
Cloudflare (alebo podobná CDN): Prejdite na SSL/TLS → Okrajové certifikáty → HTTP Strict Transport Security (HSTS) a povolte ho. Nastavte Max-Age na 6 mesiacov alebo 12 mesiacov.
Nginx: pridajte do blokov servera HTTPS:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Apache: uistite sa, že mod_headers je povolený, potom pridajte do virtuálneho hostiteľa HTTPS:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Microsoft IIS: pridajte do web.config vo vnútri <customHeaders>:
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
Krok 3 — Testujte malé, potom sa zaviažte
Začnite s max-age=300 (5 minút). Potvrďte, že stránka sa stále perfektne načíta všade. Potom zvýšte na max-age=31536000 (jeden rok). To je nastavenie s plným hodnotením.
Krok 4 (voliteľné, zlatý štandard) — preload
Keď ste si istí a máte rok bežiacu hlavičku s includeSubDomains, môžete odoslať svoju doménu na hstspreload.org na zapečenie do prehliadačov. Zaobchádzajte s tým ako so zámerným záväzkom — odstránenie domény zo zoznamu je pomalé.
Bežné chyby
- Nastavenie
max-agepríliš krátkeho. Hodnota niekoľkých minút alebo hodín vyzerá nakonfigurovaná, ale neposkytuje takmer žiadnu ochranu — a naša kontrola zaobchádza s čímkoľvek pod jeden deň ako so zlyhaním. Použite rok. - Zapnutie
includeSubDomainspred tým, než sú subdomény pripravené na HTTPS. Ak subdoména nie je úplne na HTTPS, lepivé pravidlo ju môže urobiť nedostupnou pre návštevníkov. - Pridanie HSTS bez presmerovania HTTP na HTTPS. HSTS predpokladá, že návštevníci dosiahnu bezpečnú verziu; bez presmerovania je prvá návšteva zbytočne odhalená.
- Okamžité skokovanie na
preload, aby ste boli ‘dôkladní’. Preload ťažko odvolať. Získajte ho postupne po stabilnej jednoriadkovej hlavičke — neponáhľajte sa. - Predpokladanie, že zámok vás kryje. Zámok a HSTS sú rôzne veci. Môžete mať dokonalý certifikát a stále zlyhať v tejto kontrole.
FAQ
Už máme HTTPS a zámok sa zobrazuje. Nie je to dosť?
Nie — a toto je najčastejšie nepochopenie. Zámok znamená, že pripojenie MÔŽE byť šifrované; nenúti prehliadače používať šifrovanú verziu. Bez HSTS môže útočník na rovnakej sieti udržiavať návštevníka na obyčajnom HTTP (nazývanom SSL stripping) a čítať všetko, čo napíše, kým zákazník vidí normálne vyzerajúcu stránku. HSTS je inštrukcia, ktorá robí 'len šifrované' povinným. HTTPS bez HSTS je zamknuté dvere, ktoré nie sú skutočne zaistené.
Je to drahé alebo rizikové zapnúť?
Samotná oprava je zadarmo — je to jeden riadok vo vašom webovom serveri alebo prepínač vo vašej CDN — a trvá asi 15 minút. Jedna skutočná varovanie: HSTS je lepivý. Keď ho prehliadač vidí, odmietne obyčajné HTTP pre vašu doménu po celú dobu, ktorú ste špecifikovali. Takže musíte byť si istí, že HTTPS funguje na vašej hlavnej stránke AJ na každej subdoméne pred povolením vo veľkom. Začnite s krátkou testovacou hodnotou, potvrďte, že sa nič neporuší, potom zvýšte na rok. V tomto poradí je riziko zanedbateľné.
Ako vyzerá 'dobré' nastavenie?
max-age aspoň jeden rok (31536000 sekúnd). Naša kontrola udeľuje plné hodnotenie pri roku alebo viac, čiastočné hodnotenie pri šiestich mesiacoch, slabé/čiastočné pri jednom dni a zaobchádza s čímkoľvek pod jeden deň ako s prakticky neprítomným. Najsilnejšie nastavenie tiež pridáva includeSubDomains (pokrýva shop.vasaweb.com, app.vasaweb.com atď.) a preload (zapečuje ochranu do prehliadačov, takže dokonca aj úplne prvá návšteva je bezpečná).
Čo je 'preload' a potrebujeme ho?
HSTS chráni návštevníka AŽ PO tom, čo ich prehliadač videl hlavičku aspoň raz — takže prvý požiadavok úplne nového návštevníka je stále malé okno. Zoznam preload HSTS, zabudovaný do Chrome, Firefox, Safari a Edge, toto okno uzatvára tým, že vopred odosiela vašu doménu do prehliadačov. Je to voliteľné a mierne väčší záväzok (odstránenie je pomalé), ale je to zlatý štandard.
Sme na Squarespace / Wix / Shopify — musíme vôbec niečo robiť?
Väčšina plne hostovaných staviteľov webových stránok (Squarespace, Wix, Shopify a podobné) presadzuje HTTPS a často nastaví HSTS za vás automaticky — takže možno už prechádzate bez toho, aby ste čokoľvek museli robiť. Výnimkou je, keď používate vlastnú doménu alebo CDN pred svojou stránkou; potom nastavenie môže prepadnúť medzerami. Spustite kontrolu: ak prechádza, ste hotoví.
Ak to neopravíme, zníži to naše hodnotenie?
Áno. HSTS je hodnotená kontrola webovej bezpečnosti, nie informatívna — chýbajúca alebo príliš krátka hlavička stojí body a je hodnotená ako vysoká závažnosť, pretože priamo vystavuje dáta vašich návštevníkov na zdieľaných sieťach.