1、What:HSTS全称HTTP Strict Transport Security,HTTP严格传输安全。
2、Why:因为HTTP 在重定向到 HTTPS 之前存在漏洞
- 用户在浏览时很少明确输入 https://
- 有时,用户正好通过http来访问网站,网站服务器知道这应该是安全访问,然后进行http 301重定向(redirect),以此来告诉Client再次请求并且这次用https
- 初始的请求可能成为(中间人的)攻击媒介
- 有时,用户正好通过http来访问网站,网站服务器知道这应该是安全访问,然后进行http 301重定向(redirect),以此来告诉Client再次请求并且这次用https
3、What HSTS Trying to Solve
- SSL Stripping Attack (SSL剥离攻击)- 中间人代理HTTP到HTTPS连接
- DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL(一个演讲)
4、How it happens
- HSTS指示浏览器"site.com"被访问时必须总是以HTTPS的方式
- 用户通过HTTPS浏览网站
- 然后Web Server会提供该网站的内容,还有HSTS指令:
- max-age - 自动通过 HTTPS 请求站点的持续时间(秒)
- includeSubDomains - (重定向)自动应用到所有子域名,例如www.site.com、mail.site.com等
- max-age - 自动通过 HTTPS 请求站点的持续时间(秒)
- 示例,当我们在浏览器地址栏输入http://site.com,会自动重定向到https://site.com
- 我们打开Chrome - 更多工具 - 开发者工具 - Network - 点击Name的第一个 - Headers,得到如上图所示内容。我输入的请求是http,我得到的响应是Internal Redirect,告诉我应该用https来访问该网站。由上图可看到,重定向的理由是HSTS。307 Internal Redirect表明我们的请求实际上并未成功,也表明中间人无法进行有效攻击,本例中Chrome自动将http重定向到https。
- 不幸的是,我们首次访问网站时仍然容易受到剥离攻击(SSL Stripping),HSTS的制造者也考虑到这一点了
- HSTS Preload
- 浏览器本地维护的 HSTS 网站静态列表
- 网站操作员可以申请预载状态 - https://hstspreload.org/
- 综上,网站提供了3种 HSTS 指令,分别是max-age 、includeSubDomains 和preload
- 好处:HSTS 还会禁用点击 SSL/TLS 警告的功能
- 例如,用户通过HTTPS访问(在HSTS列表上的)网站,然后收到了证书错误,浏览器会禁用点击SSL警告的功能(也就没法继续访问了)
- 此外,3种指令通常出现在同一行,某种程度上他们以同种方式工作
5、根据该网站- Qualys SSL Labs - SSL Pulse 2024年5月3日调查的网站总数为134495个,我们可以看到目前有47863个网站支持HSTS,占比35.6%
参考文献
1、网站:Practical Networking.net:Practical TLS