Was ist HSTS und wie schützt es HTTPS vor Hackern?
Möglicherweise haben Sie sichergestellt, dass für Ihre Websites SSL aktiviert ist und das Sicherheitsschloss in Ihrem Browser grün ist. Sie haben jedoch möglicherweise den kleinen Sicherheitsmann von HTTP, HTTP Strict Transport Security (HSTS), vergessen..
Was ist HSTS und wie kann es helfen, Ihre Website sicher zu halten?
Was ist HTTPS??
HTTPS (Hyper Text Transfer Protocol Secure) ist eine gesicherte Version einer Website (HTTP). Die Verschlüsselung wird mithilfe des SSL-Protokolls (Secure Sockets Layer) aktiviert und mit einem SSL-Zertifikat überprüft. Wenn Sie eine Verbindung zu einer HTTPS-Website herstellen, werden die zwischen der Website und dem Benutzer übertragenen Informationen verschlüsselt.
Diese Verschlüsselung schützt Sie durch Man-in-the-Middle-Attacks (MITM) vor Datendiebstahl. Die zusätzliche Sicherheitsebene trägt auch zur Verbesserung der Reputation Ihrer Website bei. Demystify SEO: 5 Guides für Suchmaschinenoptimierung, die Ihnen den Einstieg erleichtern Demystify SEO: 5 Guides für Suchmaschinenoptimierung, die Sie beim Einstieg unterstützen Die Beherrschung von Suchmaschinen erfordert Wissen, Erfahrung und viele Versuche und Fehler. Sie können die Grundlagen erlernen und häufige SEO-Fehler mithilfe vieler im Web verfügbarer SEO-Handbücher vermeiden. Weiterlesen . Das Hinzufügen eines SSL-Zertifikats ist in der Tat so einfach, dass es von vielen Webhosts standardmäßig standardmäßig kostenlos zu Ihrer Site hinzugefügt wird! Das heißt, HTTPS hat immer noch einige Fehler, die HSTS beheben kann.
Was ist HSTS??
HSTS ist ein Antwortheader, der einen Browser darüber informiert, dass auf aktivierte Websites nur über HTTPS zugegriffen werden kann. Dies zwingt Ihren Browser dazu, nur auf die HTTPS-Version der Website und alle darauf befindlichen Ressourcen zugreifen zu können.
Möglicherweise ist Ihnen nicht bewusst, dass die HTTP-Version weiterhin verfügbar ist, obwohl Sie Ihr SSL-Zertifikat ordnungsgemäß eingerichtet und HTTPS für Ihre Website aktiviert haben. Dies gilt auch, wenn Sie die Weiterleitung mit 301 Permanente Umleitung eingerichtet haben.
Obwohl die HSTS-Richtlinie bereits seit einiger Zeit besteht, wurde sie erst im Juli 2016 offiziell von Google ausgerollt. Aus diesem Grund haben Sie noch nicht viel davon gehört.
Durch die Aktivierung von HSTS werden SSL-Protokollattacken und Cookie-Hijacking gestoppt. Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf erklärt] Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf Explains] Die meisten Menschen wissen, dass es überall im Internet Kekse gibt, die bereit sind, von jedem, der sie zuerst finden kann, aufgefressen zu werden. Warte was? Das kann nicht richtig sein. Ja, es gibt Cookies… Lesen Sie weiter zwei zusätzliche Schwachstellen in SSL-fähigen Websites. Zusätzlich zur Erhöhung der Sicherheit einer Website wird HSTS das Laden von Websites beschleunigen, indem ein Schritt im Ladevorgang entfernt wird.
Was ist SSL-Stripping??
Obwohl HTTPS eine enorme Verbesserung gegenüber HTTP darstellt, ist es für Hacker nicht unverwundbar. SSL-Stripping ist ein häufiger MITM-Hack für Websites, die Benutzer mithilfe einer Umleitung von einer HTTP-Version zur HTTPS-Version ihrer Website senden.
301 (permanent) und 302 (temporär) Weiterleitung funktioniert im Wesentlichen wie folgt:
- Ein Benutzer gibt ein google.com in der Adressleiste ihres Browsers.
- Der Browser versucht zunächst zu laden http://google.com als Standardeinstellung.
- “Google.com” ist mit einer permanenten 301-Weiterleitung zu eingerichtet https://google.com.
- Der Browser sieht die Weiterleitung und lädt https://google.com stattdessen.
Beim SSL-Stripping kann der Hacker die Zeit zwischen Schritt 3 und Schritt 4 verwenden, um die Umleitungsanforderung zu blockieren und zu verhindern, dass der Browser die sichere (HTTPS) -Version der Website lädt. Wenn Sie dann auf eine unverschlüsselte Version der Website zugreifen, können alle von Ihnen eingegebenen Daten gestohlen werden.
Der Hacker kann Sie auch zu einer Kopie der Website weiterleiten, auf die Sie zugreifen möchten, und alle Ihre Daten erfassen, wenn Sie sie eingeben, auch wenn sie sicher erscheint.
Google hat Schritte in Chrome implementiert, um einige Arten der Umleitung zu stoppen. Die Aktivierung von HSTS sollte jedoch ab jetzt standardmäßig für alle Ihre Websites verwendet werden.
Wie kann das Aktivieren von HSTS das SSL-Stripping stoppen??
Die Aktivierung von HSTS zwingt den Browser, die sichere Version einer Website zu laden, und ignoriert Umleitungen und andere Aufrufe zum Öffnen einer HTTP-Verbindung. Dadurch wird die Umleitungslücke geschlossen, die bei einer Umleitung 301 und 302 besteht.
Selbst bei HSTS gibt es eine negative Seite. Das heißt, der Browser eines Benutzers muss mindestens einmal den HSTS-Header sehen, bevor er ihn für zukünftige Besuche nutzen kann. Dies bedeutet, dass sie mindestens einmal den HTTP> HTTPS-Prozess durchlaufen müssen, sodass sie beim ersten Besuch einer HSTS-fähigen Website verwundbar sind.
Um dies zu verhindern, lädt Chrome eine Liste der Websites vor, auf denen HSTS aktiviert ist. Benutzer können HSTS-fähige Websites selbst in die Vorladeliste einreichen, wenn sie die erforderlichen (einfachen) Kriterien erfüllen.
Websites, die dieser Liste hinzugefügt werden, werden in zukünftigen Versionen von Chrome-Updates fest codiert. Dadurch wird sichergestellt, dass jeder, der Ihre HSTS-fähigen Websites in aktualisierten Versionen von Chrome besucht, sicher bleibt.
Firefox, Opera, Safari und Internet Explorer verfügen über eine eigene HSTS-Vorladeliste, die jedoch auf der Chrome-Liste von hstspreload.org basiert.
So aktivieren Sie HSTS auf Ihrer Website
Um HSTS auf Ihrer Website zu aktivieren, benötigen Sie zunächst ein gültiges SSL-Zertifikat. 7 Gründe, warum Ihre Site ein SSL-Zertifikat benötigt. 7 Gründe, warum Ihre Site ein SSL-Zertifikat benötigt. Es spielt keine Rolle, ob Sie ein bescheidenes Blog oder einen vollständigen E-Commerce entwickeln Site: Sie benötigen ein SSL-Zertifikat. Hier sind einige praktische Gründe dafür. Weiterlesen . Wenn Sie HSTS ohne HSTS aktivieren, ist Ihre Website für keinen Besucher verfügbar. Stellen Sie daher sicher, dass Ihre Website und alle Subdomains über HTTPS funktionieren, bevor Sie fortfahren.
Die Aktivierung von HSTS ist ziemlich einfach. Sie müssen lediglich der .htaccess-Datei auf Ihrer Site einen Header hinzufügen. Der Header, den Sie hinzufügen müssen, lautet:
Strict-Transport-Security: maximales Alter = 31536000; includeSubDomains
Dadurch wird ein maximal einjähriges Cookie für ein Jahr hinzugefügt (Was ist ein Cookie? Cookies sind nicht alle schlecht: 6 Gründe, sie in Ihrem Browser zu aktivieren. Cookies sind nicht alle: 6 Gründe, um sie in Ihrem Browser zu aktivieren. Sind Cookies wirklich all das ist schlimm: Setzen Sie Ihre Sicherheit und Ihre Privatsphäre in Gefahr, oder gibt es gute Gründe, Cookies zu aktivieren? Lesen Sie weiter), einschließlich Ihrer Website und etwaiger Unterdomänen. Sobald ein Browser auf die Website zugreift, kann er ein Jahr lang nicht auf die ungesicherte HTTP-Version der Website zugreifen. Stellen Sie sicher, dass alle Unterdomänen in dieser Domäne im SSL-Zertifikat enthalten sind und dass HTTPS aktiviert ist. Wenn Sie dies vergessen, können Sie nach dem Speichern der .htaccess-Datei nicht auf die Subdomains zugreifen.
Websites, denen das fehlt includeSubDomains Mit dieser Option können Besucher Datenschutzlücken ausgesetzt werden, indem Subdomains Cookies manipulieren können. Mit includeSubDomains Wenn diese Option aktiviert ist, sind diese Cookies-Angriffe nicht möglich.
Hinweis: Bevor Sie das einjährige Höchstalter hinzufügen, testen Sie Ihre gesamte Website zunächst mit fünf Minuten. Verwenden Sie dazu: Maximalalter = 300;
Google empfiehlt sogar, Ihre Website und deren Leistung (Traffic) mit einer Woche und einem Monat zu testen, bevor Sie ein maximales Alter von zwei Jahren implementieren.
Fünf Minuten: Strict-Transport-Security: max-age = 300; includeSubDomains Eine Woche: Strict-Transport-Security: max-age = 604800; includeSubDomains Ein Monat: Strict-Transport-Security: max-age = 2592000; includeSubDomains
Erstellen der HSTS-Vorladeliste
Inzwischen sollten Sie mit HSTS vertraut sein und wissen, warum es für Ihre Website wichtig ist, sie zu verwenden. Die Online-Sicherheit Ihrer Website-Besucher sollte ein zentrales Element Ihres Website-Plans sein.
Um für die HSTS-Vorladeliste von Chrome und anderen Browsern in Frage zu kommen, muss Ihre Website die folgenden Anforderungen erfüllen:
- Stellen Sie ein gültiges SSL-Zertifikat bereit.
- Umleitung von HTTP zu HTTPS auf demselben Host, wenn Sie Port 80 überwachen.
- Servieren Sie alle Subdomains über HTTPS. Insbesondere müssen Sie HTTPS für das unterstützen www.subdomain Wenn ein DNS-Eintrag für diese Unterdomäne vorhanden ist.
- Stellen Sie einen HSTS-Header in der Basisdomäne für HTTPS-Anforderungen bereit:
- Das Höchstalter muss mindestens 31536000 Sekunden (1 Jahr) betragen..
- Die includeSubDomains-Direktive muss angegeben werden.
- Die Preload-Anweisung muss angegeben werden.
- Wenn Sie eine zusätzliche Umleitung von Ihrer HTTPS-Site aus bereitstellen, muss diese Umleitung weiterhin über den HSTS-Header verfügen (und nicht die Seite, auf die sie umgeleitet wird)..
Wenn Sie Ihre Website zur HSTS-Vorladeliste hinzufügen möchten, müssen Sie die erforderliche Website hinzufügen Vorspannung Etikett. Das “Vorspannung” Diese Option bedeutet, dass Ihre Website zur HSTS-Vorladeliste von Chrome hinzugefügt werden soll. Der Antwortheader in .htaccess sollte dann wie folgt aussehen:
Strict-Transport-Security: maximales Alter = 63072000; includeSubDomains; Vorspannung
Wir empfehlen, dass Sie Ihre Website zu hstspreload.org hinzufügen. Die Anforderungen sind ziemlich einfach zu erfüllen und tragen dazu bei, die Besucher Ihrer Website zu schützen und möglicherweise das Suchmaschinenranking Ihrer Website zu verbessern. Wie funktionieren Suchmaschinen? Wie funktionieren Suchmaschinen? Für viele ist Google das Internet. Es ist wohl die wichtigste Erfindung seit dem Internet. Und während sich Suchmaschinen seitdem stark verändert haben, sind die zugrundeliegenden Prinzipien immer noch dieselben. Weiterlesen .
Erfahren Sie mehr über: HSTS, HTTPS, Online-Sicherheit, SSL.