HSTS on verkkoturvallisuusvastausotsikko. Nimi on lyhenne sanoista "HTTP Strict Transport Security". HSTS-otsikon tehtävänä on pakottaa selaimet muodostamaan yhteys verkkosivustoille HTTPS: n avulla.
Vinkki: HTTPS käyttää salausta suojatakseen verkkoyhteytesi hakkereilta, jotka yrittävät muokata tai valvoa sitä. HTTP: llä ei ole näitä suojauksia, joten oikeassa paikassa oleva hakkeri voi valvoa ja muokata HTTP-liikennettäsi.
Verkkovastausotsikko on metatieto, jonka palvelin lähettää, kun se vastaa verkkopyyntöihin. Osaa näistä otsikoista kutsutaan usein turvallisuusotsikoiksi, koska niiden tarkoituksena on lisätä verkkosivuston ja käyttäjän turvallisuutta.
HSTS-otsikossa on kaksi pakollista osaa ja kaksi valinnaista. Otsikon nimi "Strict-Transport-Security" ja sitten "max-age"-operaattori ja arvo ovat molemmat pakollisia. Joskus käytetään myös toista operaattoriparia, "includeSubDomains" ja "preload".
Kun selain vastaanottaa HTTPS-vastauksen, jossa on HSTS-otsikko, sitä kehotetaan muodostamaan yhteys tälle verkkosivustolle ja kaikkiin sen resursseihin käyttämällä yksinomaan HTTPS: ää "max-age" -ajastimen ajan. "Max-age" on muuttuja, joka kuvaa kuinka kauan selaimen tulee muistaa jokin asetus. Arvo “max-age” on lueteltu sekunneissa, suositeltu arvo on “31536000”, joka on yksi vuosi.
Ajatuksena on, että tämän ajastimen aikana, joka nollataan jokaisen seuraavan sivulatauksen yhteydessä, selain vaatii HTTPS-yhteyden ja hylkää kaikki HTTP-resurssit. Tämä suojaa henkilö-in-the-middle-hyökkäyksiltä, joissa sinun ja verkkopalvelimen välinen hakkeri voi manipuloida saamiasi vastauksia.
Tärkein kohta, jossa tämä suojaa sinua, on ensimmäinen yhteys. Kun muodostat yhteyden verkkosivustoon, voit tavallisesti pyytää HTTP-sivustoa ja sitten sinut ohjataan HTTPS-verkkosivustolle. Valitettavasti keskiasennossa oleva hakkeri voi estää tämän HTTPS-päivityksen ja varastaa tai seurata toimintaasi verkkosivustolla. Kun selain on kuitenkin nähnyt HSTS-otsikon, selaimesi muodostaa jopa ensimmäisen yhteyden HTTPS: n kautta suojaten sinua hakkereilta.
HSTS estää myös suojaamattomien resurssien lataamisen, joita hyökkääjä voisi myös haitallisesti muokata, jos ne toimitettaisiin HTTP: n kautta.
"IncludeSubDomains" -operaattoria käytetään osoittamaan, että otsikon tulisi koskea myös kaikkia verkkosivuston aliverkkotunnuksia.
HSTS-esilatausluettelo
Saatat huomata, että HSTS ei silti suojaa sinua ensimmäisellä kerralla, kun muodostat yhteyden verkkosivustoon. Tässä tulee esilatausoperaattori. Verkkosivustot voivat ilmoittautua HSTS: n esilatausluetteloon, "preload"-operaattori on pakollinen indikaattori, jos näin on. HSTS-esilatauslista päivitetään säännöllisesti ja tallennetaan selaimeen, jos sivusto on mukana, selain käyttää siihen HSTS-suojauksia. Tämä tapahtuu jopa ensimmäisessä yhteydessä ennen kuin selain olisi koskaan voinut nähdä HSTS-vastausotsikon.
Vinkki: HSTS: n esilatausluetteloon lisääminen edellyttää vähintään vuoden "enimmäis-ikä".
HSTS-ongelmat
Yksi HSTS: n pääkohdista on, että se näyttää virheilmoituksen, jos HTTPS-yhteydessä on ongelmia. Ylimääräisenä turvatoimena käyttäjien ei pitäisi pystyä ohittamaan HSTS-virheilmoituksia, kuten he pystyisivät normaaleissa HTTPS-virheissä.
Valitettavasti tämä voi aiheuttaa ongelmia, jos yritys ottaa HSTS: n käyttöön ennen koko verkkosivustoa ja jokainen siinä käytetty resurssi tukee HTTPS: ää. Tässä tapauksessa käyttäjät alkavat nähdä HSTS-suojausvirheilmoituksia, joita he eivät voi ohittaa, mikä olennaisesti rikkoo verkkosivuston kokonaan. Pahinta on, että pelkkä HSTS-otsikon poistaminen ei korjaa ongelmaa näille käyttäjille, koska heidän selaimensa jatkaa HSTS: n pakottamista mahdollisesti kuukauden pituisen "maksimi-iän" ajan.
Sellaisenaan on erittäin tärkeää, että käytetään lyhyttä "maksimi-ikää", kun otsikko otetaan käyttöön ensimmäisen kerran. Jos ongelmia ilmenee, ne jatkuvat vain lyhyen aikaa, kun ne havaitaan. Vain kun olet varma, että verkkosivustosi on täysin HSTS-yhteensopiva, sinun tulee määrittää pitkä HSTS-ajastin.
Vinkki: On myös mahdollista asettaa "enimmäisikä" 0, mikä käytännössä poistaa tallennetun HSTS-merkinnän kaikilta, jotka näkevät sen. Tämä voi auttaa, jos ongelmia ilmenee, mutta se vaikuttaa käyttäjiin vain silloin, kun he päättävät yrittää uudelleen.