【学习笔记】SSL/TLS安全机制之HSTS

1、What:HSTS全称HTTP Strict Transport Security,HTTP严格传输安全。

2、Why:因为HTTP 在重定向到 HTTPS 之前存在漏洞

  • 用户在浏览时很少明确输入 https://
    • 有时,用户正好通过http来访问网站,网站服务器知道这应该是安全访问,然后进行http 301重定向(redirect),以此来告诉Client再次请求并且这次用https
      • 初始的请求可能成为(中间人的)攻击媒介

3、What HSTS Trying to Solve

  • SSL Stripping Attack (SSL剥离攻击)- 中间人代理HTTP到HTTPS连接
    • DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL(一个演讲)

4、How it happens

  • HSTS指示浏览器"site.com"被访问时必须总是以HTTPS的方式
    • 用户通过HTTPS浏览网站
    • 然后Web Server会提供该网站的内容,还有HSTS指令:
      • max-age - 自动通过 HTTPS 请求站点的持续时间(秒)
      • includeSubDomains - (重定向)自动应用到所有子域名,例如www.site.com、mail.site.com等
    • 示例,当我们在浏览器地址栏输入http://site.com,会自动重定向到https://site.com
      • 我们打开Chrome - 更多工具 - 开发者工具 - Network - 点击Name的第一个 - Headers,得到如上图所示内容。我输入的请求是http,我得到的响应是Internal Redirect,告诉我应该用https来访问该网站。由上图可看到,重定向的理由是HSTS。307 Internal Redirect表明我们的请求实际上并未成功,也表明中间人无法进行有效攻击,本例中Chrome自动将http重定向到https。
    • 不幸的是,我们首次访问网站时仍然容易受到剥离攻击(SSL Stripping),HSTS的制造者也考虑到这一点了
    • HSTS Preload
    • 综上,网站提供了3种 HSTS 指令,分别是max-ageincludeSubDomainspreload
  • 好处:HSTS 还会禁用点击 SSL/TLS 警告的功能
    • 例如,用户通过HTTPS访问(在HSTS列表上的)网站,然后收到了证书错误,浏览器会禁用点击SSL警告的功能(也就没法继续访问了)
  • 此外,3种指令通常出现在同一行,某种程度上他们以同种方式工作

5、根据该网站- Qualys SSL Labs - SSL Pulse 2024年5月3日调查的网站总数为134495个,我们可以看到目前有47863个网站支持HSTS,占比35.6%

参考文献

1、网站:Practical Networking.net:Practical TLS

相关推荐
you秀1 天前
HTTPS通信流程:SSL/TLS握手全解析
网络协议·https·ssl
小菜鸡95271 天前
http、SSL、TLS、https、证书
http·https·证书·ssl·tls
小小鱼儿小小林1 天前
免费一键自动化申请、续期、部署、监控所有 SSL/TLS 证书,ALLinSSL开源免费的 SSL 证书自动化管理平台
开源·自动化·ssl
斯普信专业组2 天前
K8s环境下基于Nginx WebDAV与TLS/SSL的文件上传下载部署指南
nginx·kubernetes·ssl
qq_4924484462 天前
Java 访问HTTP,信任所有证书,解决SSL报错问题
java·http·ssl
AWS官方合作商11 天前
AWS ACM 重磅上线:公有 SSL/TLS 证书现可导出,突破 AWS 边界! (突出新功能的重要性和突破性)
服务器·https·ssl·aws
计算机毕设定制辅导-无忧学长12 天前
企业级安全实践:SSL 加密与权限管理(二)
安全·php·ssl
计算机毕设定制辅导-无忧学长13 天前
企业级安全实践:SSL 加密与权限管理(一)
网络·安全·ssl
武子康14 天前
Java-52 深入浅出 Tomcat SSL工作原理 性能优化 参数配置 JVM优化
java·jvm·后端·servlet·性能优化·tomcat·ssl
IT_102416 天前
Nginx教程:概念+安装+SSL安装,通过调优Nginx来提高应用性能
运维·nginx·ssl