摘要:網(wǎng)站可以選擇使用策略,來(lái)讓瀏覽器強(qiáng)制使用與網(wǎng)站進(jìn)行通信�����,以減少會(huì)話劫持風(fēng)險(xiǎn)���。谷歌想出了一個(gè)辦法把想啟用的所有站點(diǎn)的域名預(yù)先寫(xiě)進(jìn)瀏覽器代碼不就好了�����。谷歌維護(hù)了一個(gè)名為的網(wǎng)站���,專(zhuān)門(mén)用于申請(qǐng)讓瀏覽器給各站點(diǎn)內(nèi)置開(kāi)啟支持。
由于 Let"s Encrypt 等免費(fèi)證書(shū)的存在�����,各位站長(zhǎng)都可以很容易的加固自己的網(wǎng)站���。然而 HTTPS 不是萬(wàn)能藥��,并不是加入 HTTPS 支持就萬(wàn)事大吉了���。
譬如說(shuō)�����,就算你加入了 HTTPS 支持����,要如何讓用戶使用 HTTPS 連接呢���?包括筆者在內(nèi),估計(jì)沒(méi)有人會(huì)手工輸入那個(gè)奇怪的 https:// 協(xié)議頭��,而瀏覽器總是會(huì)把無(wú)協(xié)議頭的網(wǎng)址默認(rèn)當(dāng)做 http 協(xié)議���。于是�,當(dāng)用戶輸入了你網(wǎng)址的域名回車(chē)的時(shí)候,用戶的電腦就和你的服務(wù)器建立了非安全的連接��。有人說(shuō)他們已經(jīng)配置服務(wù)器當(dāng)用戶使用 HTTP 協(xié)議連接時(shí)重定向至 HTTPS����,但這樣并不完全解決問(wèn)題:就算返回的是一個(gè) 301 重定向,未加密就是未加密��,中間人可以為所欲為�����,比如讀取用戶上傳的請(qǐng)求頭���,篡改服務(wù)器返回的 301 地址到別的網(wǎng)站等�����。
必須由一種機(jī)制強(qiáng)制用戶使用 HTTPS 協(xié)議連接服務(wù)器�����,這就是 HSTS 的作用����。
什么是 HSTS
HTTP嚴(yán)格傳輸安全(英語(yǔ):HTTP Strict Transport Security,縮寫(xiě):HSTS)是一套由互聯(lián)網(wǎng)工程任務(wù)組發(fā)布的互聯(lián)網(wǎng)安全策略機(jī)制�。網(wǎng)站可以選擇使用 HSTS 策略,來(lái)讓瀏覽器強(qiáng)制使用 HTTPS 與網(wǎng)站進(jìn)行通信�,以減少會(huì)話劫持風(fēng)險(xiǎn)。
對(duì)于啟用 HSTS 的網(wǎng)站����,瀏覽器會(huì)做到以下幾點(diǎn):
強(qiáng)制使用 HTTPS 協(xié)議連接。對(duì)于不安全的訪問(wèn)協(xié)議���,瀏覽器會(huì)在內(nèi)部將其重定向至 HTTPS 協(xié)議��。包括并不限于
用戶沒(méi)有輸入?yún)f(xié)議頭
用戶輸入了 http:// 協(xié)議頭
當(dāng)瀏覽器發(fā)現(xiàn)服務(wù)器證書(shū)錯(cuò)誤���,強(qiáng)制阻止用戶建立連接
如何啟用 HSTS
添加返回頭:
Strict-Transport-Security: max-age=<過(guò)期時(shí)間>; includeSubDomains
其中 includeSubDomains 是可選的,表示給當(dāng)前域名下的子域名也啟用 HSTS 支持���。
值得注意的是:客戶端必須與服務(wù)器建立安全連接時(shí)(當(dāng)使用 HTTPS 協(xié)議連接并且無(wú)證書(shū)錯(cuò)誤) Strict-Transport-Security 頭才會(huì)被瀏覽器認(rèn)可��。這是因?yàn)榉前踩B接下中間人可以添加或者刪除這個(gè)頭�����,在建立真正安全的連接時(shí)一切都是不可信的�。
如果要提前關(guān)閉 HSTS,可以使用類(lèi)似清除 Cookie 的做法:
Strict-Transport-Security: max-age=0; includeSubDomains
同樣需要建立安全連接才會(huì)生效����。
預(yù)加載 HSTS
前面提到�����,HSTS 是服務(wù)器返回給瀏覽器的一個(gè)返回頭�,并且只會(huì)在建立安全連接時(shí)才會(huì)生效。那么就引出了另一個(gè)問(wèn)題:如果用戶從未訪問(wèn)過(guò)你的網(wǎng)站���,而在第一次訪問(wèn)就被劫持了怎么辦�?
所以問(wèn)題在于��,除非客戶端與服務(wù)器建立過(guò)連接����,否則瀏覽器不知道服務(wù)器是否支持 HTTPS 請(qǐng)求�����,更不知道該站點(diǎn)是否想要啟用 HSTS���。谷歌想出了一個(gè)辦法:把想啟用 HSTS 的所有站點(diǎn)的域名預(yù)先寫(xiě)進(jìn)瀏覽器代碼不就好了。這就是 Preloading Strict Transport Security�。
谷歌維護(hù)了一個(gè)名為 HSTS Preload List Submission 的網(wǎng)站,專(zhuān)門(mén)用于申請(qǐng)讓瀏覽器給各站點(diǎn)內(nèi)置開(kāi)啟 HSTS 支持���。申請(qǐng)預(yù)加載 HSTS 需要站點(diǎn)滿足更為嚴(yán)格的條件:
提供一個(gè)有效的證書(shū)���。
如果你的站點(diǎn)同時(shí)啟用了 HTTP 支持(監(jiān)聽(tīng) 80 端口),必須把 HTTP 重定向到同一域名的 HTTPS 網(wǎng)址(例如將 http://domain.com 重定向到 https://www.domain.com 是不可以的)
所有子域名也必須啟用 HTTPS 連接
返回一個(gè)滿足以下條件的 HSTS 頭
max-age 至少需要 18 個(gè)月(大于等于 10886400 秒)
必須指定 includeSubDomains
必須指定 preload(preload 是谷歌給 HSTS 頭添加的擴(kuò)展值)
如果這個(gè)域名會(huì)重定向到另一個(gè)域名�,前面的域名也必須添加 HSTS 頭(例如 https://domain.com 重定向到 https://www.domain.com,前者需要添加 HSTS 頭)
滿足這些條件后�����,你就可以在其官方網(wǎng)站上給你的域名申請(qǐng)預(yù)加載 HSTS�。如果申請(qǐng)通過(guò),等待一段時(shí)間后你的域名就會(huì)被 Hard code 到瀏覽器內(nèi)部了���。不僅是 Chrome�,IE、Edge���、Firefox 都會(huì)采用����??梢杂眠@個(gè)網(wǎng)站檢測(cè)你域名是否支持預(yù)加載 HSTS。
PS:EOI 的頂級(jí)域名 eoitek.com 同樣支持預(yù)加載 HSTS�,不來(lái)轉(zhuǎn)轉(zhuǎn)么?
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11285.html
