HSTS एक वेब सुरक्षा प्रतिक्रिया शीर्षलेख है। नाम "HTTP सख्त परिवहन सुरक्षा" के लिए एक संक्षिप्त शब्द है। HSTS हेडर का कार्य ब्राउज़र को HTTPS का उपयोग करके वेबसाइटों से जुड़ने के लिए बाध्य करना है।
युक्ति: HTTPS आपके वेब कनेक्शन को संशोधित करने या उसकी निगरानी करने की कोशिश कर रहे हैकर्स से सुरक्षित करने के लिए एन्क्रिप्शन का उपयोग करता है। HTTP के पास ये सुरक्षा नहीं है और इसलिए सही जगह पर हैकर आपके HTTP ट्रैफ़िक की निगरानी और संशोधन कर सकता है।
वेब रिस्पांस हेडर सर्वर द्वारा भेजे गए मेटा-डेटा का एक टुकड़ा है जब यह वेब अनुरोधों का जवाब देता है। इन हेडर के एक सबसेट को अक्सर सुरक्षा हेडर के रूप में संदर्भित किया जाता है क्योंकि उनका उद्देश्य वेबसाइट और उपयोगकर्ता की सुरक्षा को बढ़ाना है।
HSTS हेडर में दो अनिवार्य भाग और दो वैकल्पिक भाग होते हैं। हेडर नाम "सख्त-परिवहन-सुरक्षा" और फिर "अधिकतम-आयु" ऑपरेटर और मूल्य दोनों अनिवार्य हैं। ऑपरेटरों की एक और जोड़ी, "सबडोमेन शामिल करें" और "प्रीलोड" का भी कभी-कभी उपयोग किया जाता है।
जब ब्राउज़र को HSTS हेडर के साथ एक HTTPS प्रतिक्रिया प्राप्त होती है, तो उसे इस वेबसाइट और उस पर सभी संसाधनों से जुड़ने का निर्देश दिया जाता है, विशेष रूप से "अधिकतम-आयु" टाइमर की अवधि के लिए HTTPS का उपयोग करना। "अधिकतम-आयु" एक चर है जो बताता है कि ब्राउज़र द्वारा किसी सेटिंग को कितनी देर तक याद रखना चाहिए। "अधिकतम-आयु" का मान सेकंड में सूचीबद्ध है, अनुशंसित मान "31536000" है, जो एक वर्ष है।
विचार यह है कि इस टाइमर की अवधि के भीतर, जिसे प्रत्येक बाद के पृष्ठ लोड के साथ रीसेट किया जाता है, ब्राउज़र को एक HTTPS कनेक्शन की आवश्यकता होगी और किसी भी HTTP संसाधन को अस्वीकार कर देगा। यह व्यक्ति-में-मध्य हमलों से बचाता है, जहां आपके और वेबसर्वर के बीच एक हैकर आपको प्राप्त प्रतिक्रियाओं में हेरफेर कर सकता है।
मुख्य बिंदु जिस पर यह आपकी रक्षा करता है वह पहला कनेक्शन है। आमतौर पर, जब आप किसी वेबसाइट से जुड़ते हैं, तो आप HTTP वेबसाइट के लिए अनुरोध कर सकते हैं, और फिर HTTPS वेबसाइट पर अग्रेषित कर सकते हैं। दुर्भाग्य से, एक व्यक्ति के बीच की स्थिति में एक हैकर HTTPS में इस अपग्रेड को रोक सकता है और फिर वेबसाइट पर आपकी गतिविधि को चुरा सकता है या उसकी निगरानी कर सकता है। एक बार ब्राउज़र द्वारा HSTS हैडर देखे जाने के बाद, आपका ब्राउज़र आपको हैकर्स से बचाते हुए, HTTPS पर पहला कनेक्शन भी बना देगा।
HSTS किसी भी असुरक्षित संसाधन को लोड होने से भी रोकता है जिसे किसी हमलावर द्वारा दुर्भावनापूर्ण रूप से संशोधित किया जा सकता है यदि वे HTTP पर वितरित किए गए थे।
"सबडोमेन शामिल करें" ऑपरेटर का उपयोग यह इंगित करने के लिए किया जाता है कि हेडर वेबसाइट के सभी उप डोमेन पर भी लागू होना चाहिए।
HSTS प्रीलोड सूची
जब आप पहली बार किसी वेबसाइट से जुड़ते हैं तो आप देख सकते हैं कि HSTS अभी भी आपकी सुरक्षा नहीं करता है। यह वह जगह है जहाँ "प्रीलोड" ऑपरेटर आता है। वेबसाइटें HSTS प्रीलोड सूची में शामिल होने के लिए स्वयं को प्रस्तुत कर सकती हैं, यदि ऐसा है तो "प्रीलोड" ऑपरेटर एक आवश्यक संकेतक है। HSTS प्रीलोड सूची नियमित रूप से अपडेट की जाती है और ब्राउज़र में संग्रहीत की जाती है, यदि कोई साइट उसमें शामिल है तो ब्राउज़र उस पर HSTS सुरक्षा लागू करेगा। यह पहले कनेक्शन पर भी होता है इससे पहले कि ब्राउज़र कभी भी HSTS प्रतिक्रिया शीर्षलेख देख सके।
युक्ति: HSTS प्रीलोड सूची में एक वर्ष या उससे अधिक की "अधिकतम आयु" जोड़ने की आवश्यकता है।
HSTS के साथ मुद्दे
HSTS के मुख्य बिंदुओं में से एक यह है कि यदि HTTPS कनेक्शन में कोई समस्या है तो यह एक त्रुटि संदेश प्रस्तुत करता है। एक अतिरिक्त सुरक्षा सावधानी के रूप में, उपयोगकर्ताओं को HSTS त्रुटि संदेशों को बायपास करने में सक्षम नहीं होना चाहिए, क्योंकि वे सामान्य HTTPS त्रुटियों के साथ सक्षम होंगे।
दुर्भाग्य से, यह समस्याएँ पैदा कर सकता है यदि कोई कंपनी पूरी वेबसाइट से पहले HSTS को रोल आउट करती है, और उस पर उपयोग किया जाने वाला प्रत्येक संसाधन HTTPS का समर्थन करता है। इस मामले में, उपयोगकर्ता HSTS सुरक्षा त्रुटि संदेशों को देखना शुरू कर देंगे, जिन्हें वे बायपास नहीं कर सकते, अनिवार्य रूप से वेबसाइट को पूरी तरह से तोड़ रहे हैं। सबसे बुरी बात यह है कि केवल HSTS हेडर को हटाने से उन उपयोगकर्ताओं के लिए समस्या ठीक नहीं होती है, क्योंकि उनका ब्राउज़र संभावित महीनों तक "अधिकतम-आयु" के लिए HSTS को लागू करना जारी रखेगा।
जैसे कि यह गंभीर रूप से महत्वपूर्ण है कि हेडर को पहली बार तैनात करते समय एक छोटी "अधिकतम आयु" का उपयोग किया जाता है। यदि कोई समस्या है, तो वे केवल एक बार खोजे जाने के बाद थोड़े समय के लिए बनी रहती हैं। केवल एक बार जब आप आश्वस्त हो जाते हैं कि आपकी वेबसाइट पूरी तरह से HSTS के अनुरूप है, तो आपको एक लंबे HSTS टाइमर को कॉन्फ़िगर करना चाहिए।
युक्ति: 0 की "अधिकतम आयु" सेट करना भी संभव है, यह अनिवार्य रूप से सहेजे गए HSTS प्रविष्टि को किसी भी व्यक्ति से हटा देता है जो इसे देखता है। यदि कोई समस्या है तो यह मदद कर सकता है, लेकिन यह केवल उपयोगकर्ताओं को प्रभावित करेगा और यदि वे फिर से प्रयास करने का निर्णय लेते हैं।