Wat is HSTS en hoe beschermt het HTTPS tegen hackers?

Wat is HSTS en hoe beschermt het HTTPS tegen hackers? / Veiligheid

U hebt mogelijk ervoor gezorgd dat uw websites SSL-ingeschakeld zijn en dat het mooie beveiligingsslot in uw browser groen is. U bent misschien de kleine beveiligingsman van HTTP, HTTP Strict Transport Security (HSTS), vergeten.

Wat is HSTS en hoe kan het helpen uw site veilig te houden?

Wat is HTTPS?

Hyper Text Transfer Protocol Secure (HTTPS) is een beveiligde versie van een website (HTTP). De codering wordt ingeschakeld met behulp van het Secure Sockets Layer (SSL) -protocol en wordt gevalideerd met een SSL-certificaat. Wanneer u verbinding maakt met een HTTPS-website, wordt de informatie die wordt overgedragen tussen de website en de gebruiker, gecodeerd.

Deze codering helpt u te beschermen tegen gegevensdiefstal door middel van Man-in-the-Middle-Attacks (MITM). De toegevoegde beveiligingslaag helpt ook om de reputatie van uw website enigszins te verbeteren Demystify SEO: 5 gidsen voor zoekmachineoptimalisatie die u helpen bij het demystificeren van SEO: 5 gidsen voor zoekmachine-optimalisatie die u helpen Begin van de beheersing van zoekmachines brengt kennis, ervaring en veel testen met zich mee en fout. U kunt beginnen met het leren van de fundamenten en het voorkomen van veelvoorkomende SEO-fouten met behulp van vele SEO-gidsen die beschikbaar zijn op internet. Lees verder . Het toevoegen van een SSL-certificaat is zelfs zo eenvoudig, dat veel webhosts het standaard gratis aan uw site toevoegen! Dat gezegd hebbende, heeft HTTPS nog steeds een aantal tekortkomingen die HSTS kan oplossen.

Wat is HSTS?

HSTS is een antwoordheader die een browser informeert dat ingeschakelde websites alleen via HTTPS toegankelijk zijn. Dit dwingt je browser om alleen toegang te krijgen tot de HTTPS-versie van de website en alle bronnen die erop staan.

U weet misschien niet dat, hoewel u uw SSL-certificaat juist hebt ingesteld en HTTPS hebt ingeschakeld voor uw website, de HTTP-versie nog steeds beschikbaar is. Dit is waar, zelfs als u het doorsturen hebt ingesteld met 301 permanente omleiding.

Hoewel het HSTS-beleid al een tijdje bestaat, werd het pas in juli 2016 officieel door Google geïntroduceerd. Misschien heb je daar nog niet veel van gehoord.

Als u HSTS inschakelt, worden SSL-protocolaanvallen en cookedavacking gestopt, Wat is een cookie en wat heeft het met mijn privacy te maken? [MakeUseOf Explains] Wat is een Cookie en wat heeft het met mijn privacy te maken? [MakeUseOf Explains] De meeste mensen weten dat er overal op internet koekjes zijn, klaar en bereid om te worden opgegeten door degene die ze als eerste kan vinden. Wacht wat? Dat kan niet goed zijn. Ja, er zijn cookies ... Lees Meer twee extra kwetsbaarheden in SSL-enabled websites. En naast het veiliger maken van een website, maakt HSTS sites sneller laden door een stap in de laadprocedure te verwijderen.

Wat is SSL-strippen?

Hoewel HTTPS een enorme verbetering is ten opzichte van HTTP, is het niet onkwetsbaar om te worden gehackt. SSL-strippen is een veel voorkomende MITM-hack voor websites die omleiding gebruikt om gebruikers van een HTTP naar de HTTPS-versie van hun website te sturen.

301 (permanent) en 302 (tijdelijk) redirect werken in principe zo:

  1. Een gebruikerstype google.com in de adresbalk van de browser.
  2. De browser probeert in eerste instantie te laden http://google.com als de standaard.
  3. “Google.com” is ingesteld met een permanente omleiding van 301 naar https://google.com.
  4. De browser ziet de omleiding en wordt geladen https://google.com in plaats daarvan.

Met SSL-stripping kan de hacker de tijd tussen stap 3 en stap 4 gebruiken om de omleidingsverzoek te blokkeren en de browser te verhinderen de beveiligde (HTTPS) -versie van de website te laden. Omdat u dan toegang krijgt tot een niet-versleutelde versie van de website, kunnen alle gegevens die u invoert, worden gestolen.

De hacker kan u ook omleiden naar een kopie van de website die u probeert te openen en al uw gegevens vastleggen terwijl u deze invoert, zelfs als deze er veilig uitziet..

Google heeft stappen in Chrome geïmplementeerd om bepaalde omleidingen te stoppen. HSTS moet echter voortaan standaard worden ingesteld voor al uw websites.

Hoe zorgt het inschakelen van HSTS voor het stoppen van SSL-strippen?

Als u HSTS inschakelt, wordt de browser gedwongen om de beveiligde versie van een website te laden en wordt elke omleiding en elke andere aanroep om een ​​HTTP-verbinding te openen genegeerd. Hiermee wordt het beveiligingslek met betrekking tot omleiding afgesloten dat bestaat met een omleiding van 301 en 302.

Er is een negatieve kant, zelfs voor HSTS, en dat is dat de browser van een gebruiker de HSTS-header ten minste één keer moet zien voordat deze er voordeel uit kan halen voor toekomstige bezoeken. Dit betekent dat ze minimaal één keer het HTTP> HTTPS-proces moeten doorlopen, waardoor ze kwetsbaar worden wanneer ze voor de eerste keer een HSTS-website bezoeken.

Om dit te bestrijden, laadt Chrome een lijst met websites waarvoor HSTS is ingeschakeld. Gebruikers kunnen zelf HSTS-websites naar de preloadlijst sturen als ze voldoen aan de vereiste (eenvoudige) criteria.

Websites die aan deze lijst worden toegevoegd, worden hard gecodeerd in toekomstige versies van Chrome-updates. Het zorgt ervoor dat iedereen die uw websites met HSTS bezoekt in bijgewerkte versies van Chrome, veilig blijft.

Firefox, Opera, Safari en Internet Explorer hebben hun eigen HSTS-preloadlijst, maar ze zijn gebaseerd op de Chrome-lijst op hstspreload.org.

Hoe HSTS op uw website in te schakelen

Om HSTS op uw website in te schakelen, moet u eerst een geldig SSL-certificaat hebben 7 Redenen Uw site heeft een SSL-certificaat nodig 7 Redenen dat uw site een SSL-certificaat nodig heeft Het maakt niet uit of u een bescheiden blog of een volledige e-commerce ontwikkelt site: u heeft een SSL-certificaat nodig. Hier zijn enkele praktische redenen waarom. Lees verder . Als u HSTS zonder één inschakelt, is uw site niet meer beschikbaar voor bezoekers. Zorg er dus voor dat uw website en eventuele subdomeinen via HTTPS werken voordat u doorgaat.

HSTS inschakelen is vrij eenvoudig. U hoeft alleen maar een koptekst toe te voegen aan het .htaccess-bestand op uw site. De koptekst die u moet toevoegen is:

Strict-Transport-Security: max-age = 31536000; includeSubDomains

Hiermee wordt een cookie voor maximumleeftijd van een jaar toegevoegd (wat is een cookie? Cookies zijn niet allemaal slecht: 6 redenen om ze niet te gebruiken op uw browser Cookies zijn niet allemaal slecht: 6 redenen om ze niet te gebruiken in uw browser Zijn cookies echt al met al, brengen ze uw beveiliging en privacy in gevaar of zijn er goede redenen om cookies in te schakelen? Lees meer), die uw website en eventuele subdomeinen omvat. Zodra een browser toegang heeft tot de website, kan deze een jaar lang geen toegang krijgen tot de onbeveiligde HTTP-versie van de website. Zorg ervoor dat alle subdomeinen op dit domein zijn opgenomen in het SSL-certificaat en dat HTTPS is ingeschakeld. Als u dit bent vergeten, zijn de subdomeinen niet toegankelijk nadat u het .htaccess-bestand hebt opgeslagen.

Websites die de missen includeSubDomains optie kan bezoekers blootstellen aan privacylekken door subdomeinen cookies te laten manipuleren. Met includeSubDomains ingeschakeld, zijn deze aan cookies gerelateerde aanvallen niet mogelijk.

Notitie: Voordat u de maximale leeftijd van een jaar toevoegt, test u eerst uw volledige website met de maximale leeftijd van vijf minuten met behulp van: max-age = 300;

Google raadt zelfs aan om uw website en de prestaties (verkeer) ervan te testen met een waarde van één week en een maand, en voordat u een maximale leeftijd van twee jaar implementeert..

Vijf minuten: Strict-Transport-Security: max-age = 300; includeSubDomains Een week: Strict-Transport-Security: max-age = 604800; includeSubDomains Een maand: Strict-Transport-Security: max-age = 2592000; includeSubDomains

De HSTS-voorspellijst maken

Inmiddels zou u bekend moeten zijn met HSTS en waarom het belangrijk is voor uw site om het te gebruiken. Het veilig houden van uw websitebezoekers moet een essentieel onderdeel zijn van uw siteplan.

Om in aanmerking te komen voor de HSTS-preloadlijst die Chrome en andere browsers gebruiken, moet uw website aan de volgende vereisten voldoen:

  1. Serveer een geldig SSL-certificaat.
  2. Omleiden van HTTP naar HTTPS op dezelfde host, als u op poort 80 luistert.
  3. Serveer alle subdomeinen via HTTPS. In het bijzonder moet u HTTPS ondersteunen voor de www.subdomain als er een DNS-record voor dat subdomein bestaat.
  4. Serveer een HSTS-header op het basisdomein voor HTTPS-aanvragen:
    • De maximale leeftijd moet minimaal 31536000 seconden zijn (1 jaar).
    • De includeSubDomains-instructie moet worden opgegeven.
    • De preload-richtlijn moet worden opgegeven.
    • Als u een extra omleiding vanaf uw HTTPS-site uitvoert, moet die omleiding nog steeds de HSTS-header hebben (in plaats van de pagina waarnaar deze verwijst).

Als u uw website wilt toevoegen aan de HSTS-preloadlijst, moet u ervoor zorgen dat u de vereiste toevoegt preload label. De “preload” optie geeft aan dat u wilt dat uw website wordt toegevoegd aan de HSTS-preloadlijst van Chrome. De antwoordheader in .htaccess ziet er dan als volgt uit:

Strict-Transport-Security: max-age = 63072000; includeSubDomains; preload

We raden aan dat u uw website toevoegt aan hstspreload.org. De vereisten zijn vrij eenvoudig om te voldoen en het zal de bezoekers van uw website helpen beschermen en mogelijk de positie van uw website in zoekmachines verbeteren. Hoe werken zoekmachines? Hoe werken zoekmachines? Voor veel mensen is Google IS het internet. Het is misschien wel de belangrijkste uitvinding sinds het internet zelf. En hoewel zoekmachines sindsdien erg zijn veranderd, zijn de onderliggende principes nog steeds hetzelfde. Lees verder .

Ontdek meer over: HSTS, HTTPS, online beveiliging, SSL.