přejít na obsah přejít na navigaci

Linux E X P R E S, 95 % serverů s HTTPS nevyužívá HSTS

95 % serverů s HTTPS nevyužívá HSTS

Bezpečnost

Průzkum firmy Netcraft odhalil, že 95 % serverů s HTTPS nevyužívá hlavičku HSTS, která chrání proti nechtěnému přepnutí na nešifrovanou komunikaci.


Firma Netcraft zkoumala využití technologie HSTS na serverech komunikujících protokolem HTTPS (tedy HTTP nad TLS). HSTS (HTTP Strict Transport Security) využívá HTTP hlavičku posílanou do webových prohlížečů, kterým říká, že po určenou dobu nelze přejít na obyčejný nešifrovaný protokol HTTP. A situace je poměrně tristní – jen 5 % serverů s HTTPS využívá HSTS.

Přestože byla specifikace pro technologii HSTS vydána až v roce 2012 (RFC 6797), moderní webové prohlížeče ji dávno podporují a na straně webových serverů stačí přidat jedinou hlavičku. HSTS chrání proti nechtěnému přepnutí na nešifrovanou komunikaci, které se často využívá k nekalým účelům (umožňuje útok typu MITM).

Při nasazování HSTS je však potřeba dát pozor na nastavení a nejprve vše důkladně otestovat při nastaveném krátkém čase v hlavičce. Jak to dopadne, pokud se k tomu přistupuje lehkovážně, ukazuje případ slovenského správce národní domény SK-NIC.

Nahoru

Příspěvky

Tomáš Crhonek 95 % serverů s HTTPS nevyužívá HSTS
Tomáš Crhonek 19. 03. 2016, 12:51:58
Odpovědět  Odkaz 
S HSTS je ten problém, že se do toho velmi snadno vstupuje, ale velmi špatně vystupuje. To znamená, že pokud už se jednou na web pověsí, tak už tam musí být v podstatě trvale (nebo si to hlídat a hlavičku včas odstranit). Ono se to bude časem zlepšovat s dostupností certifikátů zdarma. Zatím to ale ani já nedávám na každé https.
Lukáš Jelínek Re: 95 % serverů s HTTPS nevyužívá HSTS
Lukáš Jelínek 19. 03. 2016, 18:12:37
Odpovědět  Odkaz 
Občas je ale HSTS dobrý argument, proč nelze cenzurovat (jako to bylo u Wikipedie v Rusku). Ono to lze dělat tak, že se na začátku nastaví v hlavičce opravdu krátký čas a pak se postupně prodlužuje. V tom SK-NIC dali rovnou půl roku a ještě uplatnění i na subdomény ... a pak se nestačili divit, co všechno se rozbilo a nejde to vrátit zpátky.
Tomáš Crhonek Re: Re: 95 % serverů s HTTPS nevyužívá HSTS
Tomáš Crhonek 20. 03. 2016, 10:41:38
Odpovědět  Odkaz 
Jo, to jistě. Pokud nějaký projekt ví, že chce používat jen https, tak je hsts rozhodně dobrá volba. Své soukromé weby mám jen na https s hsts. Jenže ne každý projekt ví, že chce běžet na https a pokud to ví, tak zase neví jak dlouho (čest výjimkám).

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz