Το HTTPS κρατά τους επισκέπτες της ιστοσελίδας ασφαλείς, αλλά δεν είναι τέλειο. Δείτε πώς λειτουργεί το HSTS πίσω από τις σκηνές για να προστατεύσει το HTTPS από τους χάκερς.

Τι είναι το HSTS και πώς προστατεύει το HTTPS από τους χάκερς;

Διαφήμιση Μπορεί να έχετε βεβαιωθεί ότι οι ιστότοποί σας έχουν ενεργοποιημένη την υπηρεσία SSL και το πολύ λουκέτο ασφαλείας στο πρόγραμμα περιήγησής σας είναι πράσινο. Εντούτοις, μπορεί να έχετε ξεχάσει το μικρό άτομο ασφαλείας HTTP, το HTTP Strict Transport Security (HTST). Τι είναι το HSTS και πώς μπορε

Διαφήμιση

Μπορεί να έχετε βεβαιωθεί ότι οι ιστότοποί σας έχουν ενεργοποιημένη την υπηρεσία SSL και το πολύ λουκέτο ασφαλείας στο πρόγραμμα περιήγησής σας είναι πράσινο. Εντούτοις, μπορεί να έχετε ξεχάσει το μικρό άτομο ασφαλείας HTTP, το HTTP Strict Transport Security (HTST).

Τι είναι το HSTS και πώς μπορεί να σας βοηθήσει να διατηρήσετε τον ιστότοπό σας ασφαλή;

Τι είναι το HTTPS;

Το HTTPS βασίζεται στο HSTS

Το πρωτόκολλο μεταφοράς πρωτοκόλλων Hyper Text (HTTPS) είναι μια ασφαλής έκδοση ενός ιστότοπου (HTTP). Η κρυπτογράφηση ενεργοποιείται χρησιμοποιώντας το πρωτόκολλο Secure Sockets Layer (SSL) και επικυρώνεται με πιστοποιητικό SSL. Όταν συνδέεστε σε έναν ιστότοπο HTTPS, οι πληροφορίες που μεταφέρονται μεταξύ του ιστότοπου και του χρήστη κρυπτογραφούνται.

Αυτή η κρυπτογράφηση σάς προστατεύει από την κλοπή δεδομένων μέσω του Man-in-the-Middle-Attacks (MITM). Η προστιθέμενη στρώμα της ασφάλειας βοηθά επίσης ελαφρώς στη βελτίωση της φήμης της ιστοσελίδας σας Demystify SEO: 5 Οδηγούς βελτιστοποίησης μηχανών αναζήτησης που σας βοηθούν να ξεκινήσετε Demystify SEO: 5 Οδηγούς βελτιστοποίησης μηχανών αναζήτησης που σας βοηθούν να ξεκινήσετε Η γνώση μηχανών αναζήτησης παίρνει γνώση, εμπειρία και πολλές δοκιμές και λάθος. Μπορείτε να αρχίσετε να μαθαίνετε τα βασικά στοιχεία και να αποφεύγετε τα κοινά λάθη SEO εύκολα με τη βοήθεια πολλών οδηγών SEO που διατίθενται στον Ιστό. Διαβάστε περισσότερα . Στην πραγματικότητα, η προσθήκη ενός πιστοποιητικού SSL είναι τόσο εύκολη, ώστε πολλοί οικοδεσπότες Ιστού να το προσθέσουν στον ιστότοπό σας από προεπιλογή, δωρεάν! Τούτου λεχθέντος, το HTTPS εξακολουθεί να έχει κάποια ελαττώματα που το HSTS μπορεί να βοηθήσει στην αποκατάσταση.

Τι είναι το HSTS;

Το HSTS είναι μια κεφαλίδα απόκρισης που ενημερώνει ένα πρόγραμμα περιήγησης που ενεργοποίησε ιστοσελίδες μόνο μέσω HTTPS. Αυτό αναγκάζει τον περιηγητή σας να έχει πρόσβαση μόνο στην έκδοση HTTPS του ιστότοπου και σε οποιονδήποτε πόρο σε αυτόν.

Ενδέχεται να μην γνωρίζετε ότι παρόλο που έχετε ρυθμίσει σωστά το πιστοποιητικό SSL και έχετε ενεργοποιήσει το HTTPS για τον ιστότοπό σας, η έκδοση HTTP εξακολουθεί να είναι διαθέσιμη. Αυτό ισχύει ακόμα και αν έχετε ρυθμίσει τη διαβίβαση χρησιμοποιώντας 301 μόνιμη ανακατεύθυνση.

Παρόλο που η πολιτική HSTS υπήρξε εδώ και λίγο καιρό, η Google έσπευσε να την κυκλοφορήσει μόνο τον Ιούλιο του 2016. Για ποιον λόγο δεν έχετε ακούσει πολλά ακόμα.

Η ενεργοποίηση του HSTS θα σταματήσει τις επιθέσεις πρωτοκόλλου SSL και την κατάχρηση cookie, Τι είναι το cookie & τι έχει να κάνει με την ιδιωτικότητά μου; [Το MakeUseOf Εξηγεί] Τι είναι το Cookie & Τι έχει να κάνει με το απόρρητό μου; [MakeUseOf Εξηγεί] Οι περισσότεροι άνθρωποι γνωρίζουν ότι υπάρχουν μπισκότα διασκορπισμένα σε όλο το Διαδίκτυο, έτοιμα και πρόθυμα να καταναλωθούν από όποιον μπορεί να τα βρει πρώτα. ΟΠΑ, τι? Αυτό δεν μπορεί να είναι σωστό. Ναι, υπάρχουν cookies ... Διαβάστε περισσότερα δύο επιπλέον ευπάθειες σε ιστότοπους με δυνατότητα SSL. Και εκτός από την ασφαλέστερη ιστοσελίδα, το HSTS θα κάνει τους ιστότοπους να φορτώνονται γρηγορότερα αφαιρώντας ένα βήμα στη διαδικασία φόρτωσης.

Τι είναι το απογύμνωσης SSL;

Παρόλο που το HTTPS είναι μια τεράστια βελτίωση από το HTTP, δεν είναι άτρωτο να έχεις χάκερ. Η απογύμνωση SSL είναι ένα πολύ συνηθισμένο hack MITM για ιστότοπους που χρησιμοποιούν ανακατεύθυνση για την αποστολή χρηστών από ένα HTTP στην έκδοση HTTPS του ιστότοπού τους.

301 (μόνιμη) και 302 (προσωρινή) ανακατεύθυνση βασικά λειτουργεί ως εξής:

  1. Ένας χρήστης πληκτρολογεί google.com στη γραμμή διευθύνσεων του προγράμματος περιήγησης.
  2. Το πρόγραμμα περιήγησης αρχικά προσπαθεί να φορτώσει τη διεύθυνση http://google.com ως προεπιλογή.
  3. Το "Google.com" έχει δημιουργηθεί με μόνιμη ανακατεύθυνση 301 στη διεύθυνση https://google.com .
  4. Το πρόγραμμα περιήγησης βλέπει την ανακατεύθυνση και φορτώνει τη διεύθυνση https://google.com .

Με την απογύμνωση SSL, ο χάκερ μπορεί να χρησιμοποιήσει το χρόνο μεταξύ του βήματος 3 και του βήματος 4 για να αποκλείσει το αίτημα ανακατεύθυνσης και να σταματήσει το πρόγραμμα περιήγησης να φορτώσει την ασφαλή (HTTPS) έκδοση του ιστότοπου. Καθώς έχετε πρόσβαση σε μια μη κρυπτογραφημένη έκδοση του ιστότοπου, τα δεδομένα που εισάγετε μπορούν να κλαπούν.

Ο χάκερ μπορεί επίσης να σας ανακατευθύνει σε ένα αντίγραφο του ιστότοπου που προσπαθείτε να αποκτήσετε πρόσβαση και να καταγράψετε όλα τα δεδομένα σας καθώς εισέρχεστε, ακόμα κι αν φαίνεται ασφαλές.

Η Google έχει εφαρμόσει βήματα στο Chrome για να σταματήσει ορισμένους τύπους ανακατεύθυνσης. Ωστόσο, η ενεργοποίηση του HSTS πρέπει να είναι κάτι που κάνετε από προεπιλογή για όλους τους ιστοτόπους σας από δω και πέρα.

Πώς Ενεργοποιώντας το HSTS Διακοπή αποκόλλησης SSL;

Η ενεργοποίηση του HSTS αναγκάζει το πρόγραμμα περιήγησης να φορτώσει την ασφαλή έκδοση ενός ιστότοπου και αγνοεί οποιαδήποτε ανακατεύθυνση και οποιαδήποτε άλλη κλήση για να ανοίξει μια σύνδεση HTTP. Αυτό κλείνει την ευπάθεια ανακατεύθυνσης που υπάρχει με ανακατεύθυνση 301 και 302.

Υπάρχει μια αρνητική πλευρά ακόμη και στο HSTS και αυτό είναι ότι το πρόγραμμα περιήγησης ενός χρήστη πρέπει να δει την κεφαλίδα HSTS τουλάχιστον μια φορά πριν να το εκμεταλλευτεί για μελλοντικές επισκέψεις. Αυτό σημαίνει ότι θα πρέπει να περάσουν από τη διαδικασία HTTP> HTTPS τουλάχιστον μία φορά, αφήνοντάς τους ευάλωτες την πρώτη φορά που επισκέπτονται έναν ιστότοπο με δυνατότητα HSTS.

Για να καταπολεμηθεί αυτό, το Chrome προπληρώνει μια λίστα με ιστότοπους με ενεργοποιημένο το HSTS. Οι χρήστες μπορούν να υποβάλουν ιστότοπους με δυνατότητα HSTS στην λίστα προφόρτωσης οι ίδιοι εάν πληρούν τα απαιτούμενα (απλά) κριτήρια.

Έλεγχος προφόρτισης HSTS

Οι ιστότοποι που προστέθηκαν σε αυτήν τη λίστα θα κωδικοποιηθούν σε μελλοντικές εκδόσεις των ενημερώσεων του Chrome. Εξασφαλίζει ότι όλοι όσοι επισκέπτονται ιστότοπους με ενεργοποιημένο HSTS σε ενημερωμένες εκδόσεις του Chrome θα παραμείνουν ασφαλείς.

Τα Firefox, Opera, Safari και Internet Explorer έχουν τη δική τους λίστα προφορτίσεων HSTS, αλλά βασίζονται στη λίστα Chrome στο hstspreload.org.

Πώς να ενεργοποιήσετε το HSTS στον ιστότοπό σας

Για να ενεργοποιήσετε το HSTS στον ιστότοπό σας, πρέπει πρώτα να έχετε ένα έγκυρο πιστοποιητικό SSL 7 Λόγοι για τους οποίους ο ιστότοπός σας χρειάζεται πιστοποιητικό SSL 7 Λόγοι για τους οποίους ο ιστότοπός σας χρειάζεται πιστοποιητικό SSL Δεν έχει σημασία αν αναπτύσσετε ένα μέτριο ιστολόγιο ή ένα πλήρες ηλεκτρονικό εμπόριο site: χρειάζεστε ένα πιστοποιητικό SSL. Ακολουθούν ορισμένες πρακτικές αιτίες. Διαβάστε περισσότερα . Αν ενεργοποιήσετε το HSTS χωρίς ένα, ο ιστότοπός σας δεν θα είναι διαθέσιμος σε κανέναν επισκέπτη, επομένως βεβαιωθείτε ότι ο ιστότοπός σας και οι τυχόν υποτομείς σας δουλεύουν μέσω του HTTPS προτού συνεχίσετε.

Η ενεργοποίηση του HSTS είναι αρκετά εύκολη. Απλά πρέπει να προσθέσετε μια κεφαλίδα στο αρχείο .htaccess στον ιστότοπό σας. Η κεφαλίδα που θέλετε να προσθέσετε είναι:

 Strict-Transport-Security: max-age=31536000; includeSubDomains

Αυτό σημαίνει ότι ένα cookie δεν είναι όλα άσχημα: 6 λόγοι για να τους αφήσετε Ενεργοποιημένος στο πρόγραμμα περιήγησής σας Τα Cookies δεν είναι όλα κακά: 6 λόγοι για να τους αφήσετε Ενεργοποιημένοι στον Browser σας Τα cookies είναι πραγματικά όλα αυτά είναι κακό, θέτουν σε κίνδυνο την ασφάλεια και την ιδιωτική σας ζωή ή υπάρχουν σοβαροί λόγοι για την ενεργοποίηση των cookies; Διαβάστε περισσότερα), που περιλαμβάνει τον ιστότοπό σας και τους υποτομείς. Μόλις ένα πρόγραμμα περιήγησης έχει προσπελάσει τον ιστότοπο, δεν θα είναι σε θέση να έχει πρόσβαση στην μη ασφαλή έκδοση HTTP του ιστότοπου για ένα έτος. Βεβαιωθείτε ότι όλοι οι υποτομείς σε αυτόν τον τομέα περιλαμβάνονται στο πιστοποιητικό SSL και έχετε ενεργοποιήσει το HTTPS. Εάν ξεχάσετε αυτό, οι υποτομείς δεν θα είναι προσβάσιμοι μετά την αποθήκευση του αρχείου .htaccess.

Οι ιστότοποι που λείπουν από την επιλογή includeSubDomains ενδέχεται να εκθέσουν τους επισκέπτες σε διαρροές απορρήτου επιτρέποντας στους υποτομείς να χειρίζονται τα cookies. Με την inclusionSubDomains ενεργοποιημένη, αυτές οι επιθέσεις που σχετίζονται με cookies δεν θα είναι δυνατές.

Σημείωση: Πριν προσθέσετε το μέγιστο όριο ενός έτους, ελέγξτε πρώτα ολόκληρο τον ιστότοπό σας με μέγιστο όριο ηλικίας πέντε λεπτών χρησιμοποιώντας: μέγιστο όριο ηλικίας = 300.

Η Google συνιστά ακόμη να δοκιμάσετε τον ιστότοπό σας και την απόδοσή του (επισκεψιμότητα) με μια εβδομάδα και μία μηνιαία τιμή, πριν εφαρμόσετε ένα μέγιστο όριο δύο ετών.

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains

Δημιουργία της λίστας προφορτίσεων HSTS

Μέχρι τώρα θα πρέπει να είστε εξοικειωμένοι με το HSTS και γιατί είναι σημαντικό για τον ιστότοπό σας να το χρησιμοποιήσει. Η διατήρηση των επισκεπτών του ιστότοπού σας σε απευθείας σύνδεση θα πρέπει να αποτελεί βασικό στοιχείο του σχεδίου του ιστότοπού σας.

Για να είναι επιλέξιμες για τη λίστα προφορτωμάτων HSTS που χρησιμοποιούν το Chrome και άλλα προγράμματα περιήγησης, ο ιστότοπός σας πρέπει να πληροί τις ακόλουθες απαιτήσεις:

  1. Χρησιμοποιήστε ένα έγκυρο πιστοποιητικό SSL.
  2. Ανακατευθύνετε από HTTP σε HTTPS στον ίδιο κεντρικό υπολογιστή, αν ακούτε στη θύρα 80.
  3. Εξυπηρετούμε όλους τους υποτομείς μέσω του HTTPS. Συγκεκριμένα, πρέπει να υποστηρίξετε το HTTPS για το www.subdomain εάν υπάρχει μια καταχώρηση DNS για αυτόν τον υποτομέα.
  4. Προβολή μιας κεφαλίδας HSTS στον τομέα βάσης για αιτήματα HTTPS:
    • Η μέγιστη ηλικία πρέπει να είναι τουλάχιστον 31536000 δευτερόλεπτα (1 έτος).
    • Πρέπει να οριστεί η οδηγία includeSubDomains.
    • Πρέπει να καθοριστεί η οδηγία προφόρτισης.
    • Εάν προβάλλετε μια επιπλέον ανακατεύθυνση από τον ιστότοπο HTTPS, αυτή η ανακατεύθυνση πρέπει να εξακολουθεί να έχει την κεφαλίδα HSTS (και όχι τη σελίδα με την οποία γίνεται ανακατεύθυνση).

Εάν θέλετε να προσθέσετε τον ιστότοπό σας στη λίστα προφόρτωσης HSTS, βεβαιωθείτε ότι έχετε προσθέσει την απαιτούμενη ετικέτα προφόρτωσης . Η επιλογή "προφόρτωση" υποδηλώνει ότι θέλετε να προστεθεί ο ιστότοπός σας στη λίστα προφόρτωσης HSTS του Chrome. Η κεφαλίδα απόκρισης στο .htaccess θα πρέπει να έχει την εξής μορφή:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Σας συνιστούμε να προσθέσετε τον ιστότοπό σας στο hstspreload.org. Οι απαιτήσεις είναι αρκετά εύκολο να συναντηθούν και θα βοηθήσουν στην προστασία των επισκεπτών του ιστότοπού σας και θα βελτιώσουν την ταξινόμηση των μηχανών αναζήτησης του ιστότοπού σας Πώς λειτουργούν οι μηχανές αναζήτησης; Πώς λειτουργούν οι μηχανές αναζήτησης; Για πολλούς ανθρώπους, το Google είναι το Διαδίκτυο. Είναι αναμφίβολα η πιο σημαντική εφεύρεση από το ίδιο το Διαδίκτυο. Και ενώ οι μηχανές αναζήτησης έχουν αλλάξει πολύ από τότε, οι βασικές αρχές παραμένουν οι ίδιες. Διαβάστε περισσότερα .

Εξερευνήστε περισσότερα σχετικά με τα εξής: HSTS, HTTPS, Online Security, SSL.