摘要:網(wǎng)站可以選擇使用策略��,來(lái)讓瀏覽器強(qiáng)制使用與網(wǎng)站進(jìn)行通信�����,以減少會(huì)話劫持風(fēng)險(xiǎn)��。谷歌想出了一個(gè)辦法把想啟用的所有站點(diǎn)的域名預(yù)先寫進(jìn)瀏覽器代碼不就好了�。谷歌維護(hù)了一個(gè)名為的網(wǎng)站,專門用于申請(qǐng)讓瀏覽器給各站點(diǎn)內(nèi)置開啟支持���。
由于 Let"s Encrypt 等免費(fèi)證書的存在����,各位站長(zhǎng)都可以很容易的加固自己的網(wǎng)站。然而 HTTPS 不是萬(wàn)能藥�����,并不是加入 HTTPS 支持就萬(wàn)事大吉了��。
譬如說�,就算你加入了 HTTPS 支持,要如何讓用戶使用 HTTPS 連接呢��?包括筆者在內(nèi)��,估計(jì)沒有人會(huì)手工輸入那個(gè)奇怪的 https:// 協(xié)議頭����,而瀏覽器總是會(huì)把無(wú)協(xié)議頭的網(wǎng)址默認(rèn)當(dāng)做 http 協(xié)議。于是�,當(dāng)用戶輸入了你網(wǎng)址的域名回車的時(shí)候,用戶的電腦就和你的服務(wù)器建立了非安全的連接���。有人說他們已經(jīng)配置服務(wù)器當(dāng)用戶使用 HTTP 協(xié)議連接時(shí)重定向至 HTTPS�,但這樣并不完全解決問題:就算返回的是一個(gè) 301 重定向��,未加密就是未加密,中間人可以為所欲為���,比如讀取用戶上傳的請(qǐng)求頭��,篡改服務(wù)器返回的 301 地址到別的網(wǎng)站等����。
必須由一種機(jī)制強(qiáng)制用戶使用 HTTPS 協(xié)議連接服務(wù)器����,這就是 HSTS 的作用����。
什么是 HSTS
HTTP嚴(yán)格傳輸安全(英語(yǔ):HTTP Strict Transport Security,縮寫:HSTS)是一套由互聯(lián)網(wǎng)工程任務(wù)組發(fā)布的互聯(lián)網(wǎng)安全策略機(jī)制�����。網(wǎng)站可以選擇使用 HSTS 策略���,來(lái)讓瀏覽器強(qiáng)制使用 HTTPS 與網(wǎng)站進(jìn)行通信�����,以減少會(huì)話劫持風(fēng)險(xiǎn)����。
對(duì)于啟用 HSTS 的網(wǎng)站,瀏覽器會(huì)做到以下幾點(diǎn):
強(qiáng)制使用 HTTPS 協(xié)議連接�。對(duì)于不安全的訪問協(xié)議,瀏覽器會(huì)在內(nèi)部將其重定向至 HTTPS 協(xié)議�。包括并不限于
用戶沒有輸入?yún)f(xié)議頭
用戶輸入了 http:// 協(xié)議頭
當(dāng)瀏覽器發(fā)現(xiàn)服務(wù)器證書錯(cuò)誤,強(qiáng)制阻止用戶建立連接
如何啟用 HSTS
添加返回頭:
Strict-Transport-Security: max-age=<過期時(shí)間>; includeSubDomains
其中 includeSubDomains 是可選的�,表示給當(dāng)前域名下的子域名也啟用 HSTS 支持。
值得注意的是:客戶端必須與服務(wù)器建立安全連接時(shí)(當(dāng)使用 HTTPS 協(xié)議連接并且無(wú)證書錯(cuò)誤) Strict-Transport-Security 頭才會(huì)被瀏覽器認(rèn)可����。這是因?yàn)榉前踩B接下中間人可以添加或者刪除這個(gè)頭,在建立真正安全的連接時(shí)一切都是不可信的���。
如果要提前關(guān)閉 HSTS�����,可以使用類似清除 Cookie 的做法:
Strict-Transport-Security: max-age=0; includeSubDomains
同樣需要建立安全連接才會(huì)生效���。
預(yù)加載 HSTS
前面提到,HSTS 是服務(wù)器返回給瀏覽器的一個(gè)返回頭,并且只會(huì)在建立安全連接時(shí)才會(huì)生效���。那么就引出了另一個(gè)問題:如果用戶從未訪問過你的網(wǎng)站����,而在第一次訪問就被劫持了怎么辦��?
所以問題在于�����,除非客戶端與服務(wù)器建立過連接���,否則瀏覽器不知道服務(wù)器是否支持 HTTPS 請(qǐng)求,更不知道該站點(diǎn)是否想要啟用 HSTS�����。谷歌想出了一個(gè)辦法:把想啟用 HSTS 的所有站點(diǎn)的域名預(yù)先寫進(jìn)瀏覽器代碼不就好了�。這就是 Preloading Strict Transport Security。
谷歌維護(hù)了一個(gè)名為 HSTS Preload List Submission 的網(wǎng)站�����,專門用于申請(qǐng)讓瀏覽器給各站點(diǎn)內(nèi)置開啟 HSTS 支持。申請(qǐng)預(yù)加載 HSTS 需要站點(diǎn)滿足更為嚴(yán)格的條件:
提供一個(gè)有效的證書���。
如果你的站點(diǎn)同時(shí)啟用了 HTTP 支持(監(jiān)聽 80 端口)����,必須把 HTTP 重定向到同一域名的 HTTPS 網(wǎng)址(例如將 http://domain.com 重定向到 https://www.domain.com 是不可以的)
所有子域名也必須啟用 HTTPS 連接
返回一個(gè)滿足以下條件的 HSTS 頭
max-age 至少需要 18 個(gè)月(大于等于 10886400 秒)
必須指定 includeSubDomains
必須指定 preload(preload 是谷歌給 HSTS 頭添加的擴(kuò)展值)
如果這個(gè)域名會(huì)重定向到另一個(gè)域名����,前面的域名也必須添加 HSTS 頭(例如 https://domain.com 重定向到 https://www.domain.com,前者需要添加 HSTS 頭)
滿足這些條件后���,你就可以在其官方網(wǎng)站上給你的域名申請(qǐng)預(yù)加載 HSTS�����。如果申請(qǐng)通過��,等待一段時(shí)間后你的域名就會(huì)被 Hard code 到瀏覽器內(nèi)部了�����。不僅是 Chrome��,IE���、Edge�����、Firefox 都會(huì)采用���。可以用這個(gè)網(wǎng)站檢測(cè)你域名是否支持預(yù)加載 HSTS���。
PS:EOI 的頂級(jí)域名 eoitek.com 同樣支持預(yù)加載 HSTS�����,不來(lái)轉(zhuǎn)轉(zhuǎn)么���?
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11285.html
