HSTS (HTTP Strict Transport Security) Kompletny Poradnik

Czym jest HSTS i jak działa?

HSTS (HTTP Strict Transport Security) to mechanizm bezpieczeństwa, który wymusza szyfrowaną komunikację za pomocą protokołu HTTPS zamiast niezabezpieczonego HTTP. Chroni on przed atakami typu downgrade, w których cyberprzestępca próbuje zdegradować połączenie z HTTPS do HTTP.

Działa on w następujący sposób:

• Serwer wysyła specjalny nagłówek HTTP „Strict-Transport-Security” do przeglądarki użytkownika.
• Przeglądarka zapamiętuje, że dana domena wymaga HTTPS. Robi to poprzez dodanie wpisu dla tej domeny do specjalnej bazy HSTS.
• Przy kolejnych połączeniach przeglądarka automatycznie użyje HTTPS zamiast HTTP, nawet jeśli użytkownik ręcznie wpisze adres HTTP.
• Jeśli serwer nie obsługuje HTTPS, przeglądarka zablokuje takie połączenie i wyświetli błąd. Nie będzie można dodać wyjątku security exception.

Mechanizm HSTS działa więc na poziomie przeglądarki – to ona egzekwuje użycie bezpiecznego protokołu HTTPS. Serwer HTTP może nadal przyjmować niezaszyfrowane żądania, ale przeglądarki posiadające informację HSTS je odrzucą.

HSTS poprawia bezpieczeństwo w dwóch kluczowych obszarach:

1. Ochrona przed atakami typu downgrade – przestępca nie może zdegradować połączenia do HTTP, bo przeglądarka i tak zażąda HTTPS.
2. Ochrona przed phishingiem – nawet jeśli użytkownik wejdzie na fałszywą, podszywającą się stronę przez HTTP, to przeglądarka z HSTS poprawi adres na HTTPS. Ponieważ oszuści nie mają certyfikatu SSL dla fałszywej domeny, połączenie zostanie odrzucone.

Mechanizm HSTS działa na wszystkich popularnych przeglądarkach internetowych, takich jak Chrome, Firefox, Safari czy Edge.

Kiedy warto włączyć HSTS?

HSTS rekomenduje się stosować na stronach internetowych, które w pełni wykorzystują szyfrowanie SSL/TLS. W szczególności mechanizm ten powinien być włączony na:

• Witrynach banków, fintechów i innych instytucji finansowych – chroni przed przechwyceniem poufnych danych, haseł i informacji o płatnościach.
• Sklepach internetowych – zabezpiecza dane kart płatniczych klientów i uniemożliwia wykradanie tych informacji.
• Serwisach zbierających wrażliwe dane użytkowników – np. dane osobowe, medyczne, podatkowe. Tam gdzie prywatność danych ma kluczowe znaczenie.
• Stronach z logowaniem i panelami administracyjnymi – chroni przed przejęciem kont i sesji logowania.
• Witrynach firmowych i instytucji publicznych – podnosi zaufanie użytkowników i wizerunek bezpieczeństwa.

Ogólnie HSTS chroni użytkowników przed atakami phishingowymi i przechwytywaniem poufnych danych w otwartym tekście. Dlatego wszędzie tam, gdzie prywatność i bezpieczeństwo danych mają kluczowe znaczenie, administratorzy witryn powinni włączać ten mechanizm.

Z drugiej strony, HSTS nie jest zalecane w przypadku witryn, które zawierają duże ilości nieszyfrowanych elementów jak grafiki, arkusze CSS czy wideo. Może to bowiem powodować niepotrzebne obciążenie serwera i spadek wydajności, ponieważ wszystkie żądania będą przechodzić przez HTTPS.

Jak włączyć HSTS?

Aby wdrożyć HSTS na serwerze WWW, należy wykonać następujące kroki:

1. Uzyskać certyfikat SSL dla danej domeny i skonfigurować go na serwerze WWW i przypisanym do niego adresie IP. Bez certyfikatu HSTS nie będzie działać.
2. W pliku konfiguracyjnym serwera WWW (np. .htaccess dla Apache) dodać dyrektywę Strict-Transport-Security:

<!—->

Kopiuj kod

Strict-Transport-Security: max-age=31536000; includeSubDomains

Powyższa reguła ustawia maksymalny czas pamiętania HSTS na 31536000 sekund (1 rok) oraz rozciąga działanie na subdomeny.

3. Opcjonalnie można dodać odpowiednie nagłówki HTTP, aby serwer od razu odsyłał ruch HTTP na HTTPS:

<!—->

Kopiuj kod

RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

4. Zrestartować serwer, aby zmiany zaczęły obowiązywać. 5. Przetestować poprawność implementacji – przeglądarka powinna teraz odrzucać próby połączenia się z witryną przez HTTP i zamiast tego przekierowywać na HTTPS.

Dodatkowo warto rozważyć dodanie domeny do listy HSTS preload w przeglądarkach (opisanej w dalszej części artykułu).

HSTS Preload List

Standardowo HSTS działa dopiero po pierwszym wejściu użytkownika na daną witrynę. Oznacza to, że przy pierwszej wizycie przeglądarka pobierze informację o HSTS i zacznie egzekwować HTTPS przy kolejnych odwiedzinach.

Jest to pewnego rodzaju luka w bezpieczeństwie, gdyż przy pierwszym połączeniu przeglądarka nadal zaakceptuje HTTP. Aby temu zapobiec, witryny mogą zgłaszać się do specjalnej listy HSTS preload.

Jest to baza domen z HSTS wbudowana w popularne przeglądarki internetowe:

• Chrome
• Firefox
• Safari
• Edge
• Opera
• Android

Jeśli witryna znajduje się na liście preload, przeglądarka wie, że musi używać HTTPS jeszcze przed pierwszą wizytą użytkownika. Dzięki temu HSTS jest egzekwowane od razu, przy zerowej wizycie.

Dodanie witryny do preload listy wymaga spełnienia kilku warunków:

• Posiadanie poprawnie skonfigurowanego HSTS z flagą includeSubDomains.
• Posiadanie ważnego certyfikatu SSL dla domeny i subdomen.
• Przejście procesu kwalifikacji przez przeglądarki.

Jeśli witryna zostanie umieszczona na liście, usunięcie jej stamtąd może potrwać nawet kilka miesięcy. Dlatego dodawanie do HSTS preload należy rozważać ostrożnie.

Jak tymczasowo wyłączyć HSTS w przeglądarce?

Czasami może się zdarzyć, że witryna internetowa włączyła HSTS zbyt pochopnie, co prowadzi do problemów z dostępem dla użytkowników. W takim przypadku może pojawić się następujący komunikat:

Kopiuj kod

Error: 525. Nie możesz teraz wejść na tę stronę, ponieważ korzysta ona z HSTS.

Aby tymczasowo wyłączyć HSTS dla danej witryny w konkretnej przeglądarce, należy:

Chrome

1. Wejść w chrome://net-internals/#hsts
2. W polu „Delete domain” wpisać daną domenę
3. Nacisnąć przycisk „Delete”
4. Odświeżyć przeglądarkę

Teraz powinien być możliwy dostęp do witryny przez zwykły niebezpieczny HTTP.

Firefox

1. Wejść w about:config
2. Zmienić wartość preference security.cert_pinning.enforcement_level na 0
3. Odświeżyć Firefox

Podobnie jak w Chrome, witryna powinna być dostępna przez HTTP.

Te metody pozwalają tymczasowo ominąć HSTS w sytuacji, gdy zostało ono niepoprawnie skonfigurowane. Jednak zaleca się jak najszybsze poprawienie ustawień po stronie serwera.

Podsumowanie

Podsumowując, HTTP Strict Transport Security to ważny i przydatny mechanizm bezpieczeństwa witryn wykorzystujących szyfrowanie HTTPS. Wymusza on stosowanie bezpiecznej komunikacji i chroni przed atakami wykorzystującymi niezabezpieczony protokół HTTP.

Administratorzy stron zawierających poufne dane powinni aktywować HSTS – w tym celu wystarczy dodać odpowiedni nagłówek HTTP na serwerze. Opcjonalnie można także zgłosić witrynę do listy HSTS preload w przeglądarkach, co zapewnia działanie mechanizmu od pierwszego połączenia.

Jednak wdrażając HSTS trzeba zachować ostrożność i dokładnie przetestować konfigurację. Błędy mogą prowadzić do problemów z dostępem do witryny. W takim przypadku konieczne może być tymczasowe wyłączenie HSTS w ustawieniach konkretnej przeglądarki użytkownika.

Potrzebujesz pomocy z wdrożeniem HSTS?

Wdrażanie HTTP Strict Transport Security (HSTS) może na początku wydać się skomplikowane. Jeśli masz trudności z prawidłową konfiguracją HSTS na swojej stronie internetowej, specjaliści z firmy ROAN Agencja Interaktywna są gotowi Ci pomóc.

ROAN to doświadczona agencja interaktywna z Gorzowa Wielkopolskiego specjalizująca się w projektowaniu bezpiecznych witryn internetowych. Eksperci ROAN znają wszystkie najlepsze praktyki wdrażania HSTS i ochrony serwisów www.

Skontaktuj się z ROAN:

• Wypełnij formularz kontaktowy na stronie internetowej
• Zadzwoń pod numer telefonu +48 695 742 350
• Napisz do nas na adres email biuro@roan24.pl

ROAN pomoże Ci skonfigurować HSTS tak, aby zapewnić maksymalne bezpieczeństwo Twojej witryny i jej użytkowników!