HSTS چیست؟ همراه با آموزش فعال سازی HSTS

سعید ناصریسعید ناصریآوریل 26, 20202min0

قبل از اینکه سعی کنیم موضوع HSTS را توضیح دهیم و توضیح دهیم که HSTS چیست؟ ما باید در مورد آن توضیح دهیم ، باید بدانید که HTTPS در ابتدا چیست؟

HTTPS چیست؟

پروتکل HTTPS نسخه ای امن از وب سایت HTTP است. این رمزگذاری با استفاده از پروتکل Secure Sockets Layer (SSL) فعال می شود ، بدون HTTPS داده های مبادله شده بین سرور و مرورگر نا امن نخواهد بود.

این رمزگذاری به شما کمک می کند تا از طریق Man-in-the-Middle-Attack (MITM) از داده ها در برابر سرقت داده ها محافظت کنید. لایه امنیتی اضافه شده همچنین به بهبود وضعیت وب سایت شما در موتورهای جستجو کمک می کند. گفته می شود که HTTPS هنوز اشکالی دارد که HSTS می تواند به رفع آن کمک کند.

HSTS چیست؟

HSTS یک هدر بازخورد است که به یک مرورگر اطلاع می دهد که وب سایت های فعال شده فقط از طریق HTTPS قابل دسترسی هستند. این باعث می شود مرورگر شما فقط به نسخه HTTPS وب سایت و منابع آن دسترسی پیدا کند. توجه داشته باشید که اگرچه ممکن است ssl را برای سایت فعال کرده باشید و تغییر مسیر 301 را روی https تنظیم کنید ، اما سایت با نسخه http هنوز در دسترس است.

فعال کردن حملات HSTS ، پروتکل SSL و ربودن کوکی ، دو آسیب پذیری موجود در وب سایتهای دارای SSL را متوقف می کند. علاوه بر ایمن سازی وب سایت شما ، HSTS نیز سریعتر سایت را بارگیری می کند.

HSTS چگونه کار می کند؟

به طور معمول ، وقتی URL را در یک مرورگر وب وارد می کنید ، بخش پروتکل را رد می کنید. به عنوان مثال ، شما www.iranserver.com را تایپ می کنید ، نه http://www.iranserver.com. در این حالت ، مرورگر فرض می کند که شما می خواهید از پروتکل HTTP استفاده کنید ، بنابراین یک درخواست HTTP را به آدرس www.iranserver.com ارسال می کند.

در این مرحله ، وب سرور با تغییر مسیر (کد پاسخ 301) که به سایت HTTPS اشاره می کند ، پاسخ می دهد. مرورگر اتصال HTTPS به www.iranserver.com ایجاد می کند. این زمانی است که حفاظت از خط مشی امنیتی HSTS با استفاده از یک هدر پاسخ HTTP شروع می کند:

حمل و نقل دقیق – امنیتی: حداکثر سن = 31536000؛ شاملSubDomains؛ پیش بارگذاری

حمل و نقل دقیق – امنیتی: حداکثر سن = 31536000؛ شاملSubDomains؛ پیش بارگذاری

هدر Strict-Transport-Security دستورالعمل خاصی به مرورگر می دهد. از زمان اضافه شدن این کدها ، هرگونه اتصال به سایت و زیر دامنه های آن برای سال آینده (31536000 ثانیه) از لحظه دریافت این هدر باید یک اتصال HTTPS باشد. اتصالات HTTP به هیچ وجه مجاز نیست. اگر مرورگر درخواست بارگیری یک منبع را با استفاده از HTTP دریافت کند ، باید درخواست HTTPS را به جای آن امتحان کند. اگر HTTPS در دسترس نباشد ، اتصال باید خاتمه یابد.

علاوه بر این ، در صورت عدم اعتبار گواهی ، از ارتباط جلوگیری می شود. معمولاً اگر گواهی معتبر نباشد (منقضی شده ، خود امضا شده باشد ، که توسط یک CA ناشناخته و غیره امضا شده است) ، مرورگر هشداری را نشان می دهد که می توانید از آن دور شوید. اما اگر سایت دارای HSTS باشد ، مرورگر به شما اجازه نمی دهد هشدار را به هیچ وجه دور بزنید. برای دسترسی به سایت ، باید سایت را از لیست HSTS داخل مرورگر حذف کنید.

هدر Strict-Transport-Security به وب سایت خاصی ارسال می شود و نام دامنه خاصی را در بر می گیرد. بنابراین ، اگر عنوان HSTS را برای www.iranserver.com دارید ، این هدر دقیقاً زیر دامنه www است. و iranserver.com را پوشش نمی دهد. به همین دلیل ، برای محافظت کامل ، وب سایت شما باید دامنه پایه (در این حالت ، iranserver.com) را وارد کرده و یک هدر Strict-Transport-Security برای آن دامنه با شاملSubDomains دریافت کند.

بهبود سئو و افزایش سرعت سایت با استفاده از HSTS

علاوه بر افزودن یک لایه امنیتی به سایت شما ، استفاده از HSTS ممکن است باعث افزایش SEO شود زیرا با استفاده از HSTS می توانید صفحات وب شما را حتی سریعتر بارگیری کنید.

زمان بارگیری اولیه در رتبه بندی جستجو و همچنین از نظر افزایش رضایت بازدید کنندگان سایت بسیار مؤثر است. با استفاده روزافزون از ابتکار موبایل و Google & # 39 ، سرعت بارگیری اولیه صفحه از اهمیت بیشتری برخوردار شد.

آیا HSTS کاملاً بی خطر است؟

متأسفانه ، اولین باری که به یک وب سایت دسترسی پیدا می کنید ، توسط HSTS محافظت نمی شوید. اگر وب سایت یک هدر HSTS به اتصال HTTP اضافه کند ، آن هدر نادیده گرفته می شود. دلیل این امر آن است که یک حمله کننده می تواند در حین حمله به وسط ، هدرها را حذف یا اضافه کند. به هدرهای HSTS قابل اعتماد نیست مگر اینکه از طریق HTTPS تحویل داده شوند.

همچنین باید بدانید که هر بار مرورگر شما صفحه را مجدداً خواند ، حداکثر سن HSTS دوباره تنظیم و حداکثر مقدار آن دو سال است. این بدان معنی است که تا زمانی که بیش از دو سال از زمان بازدید شما نگذرد ، حمایت شما دائمی است. اگر به مدت دو سال به وب سایت مراجعه نکنید با آن به عنوان یک سایت جدید برخورد می شود. در عین حال ، اگر از سربرگ HSTS با حداکثر سن برابر با 0 استفاده می کنید ، مرورگر سایت شما را به عنوان مورد جدید در اتصال بعدی در نظر می گیرد (که می تواند برای آزمایش مفید باشد).

می توانید از یک روش محافظت اضافی به نام لیست پیش بارگذاری HSTS استفاده کنید. پروژه Chromium لیستی از وب سایت هایی که از HSTS استفاده می کنند را نگه می دارد و این لیست با سایر مرورگرها به اشتراک گذاشته می شود. اگر وب سایت خود را به لیست preload اضافه کنید ، ابتدا مرورگر لیست داخلی را بررسی می کند ، بنابراین هرگز به HTTP به وب سایت شما دسترسی پیدا نمی کند (حتی در اولین تلاش برای اتصال به HTTP). این روش جزئی از استاندارد HSTS نیست. اما توسط همه مرورگرهای اصلی (Chrome ، Firefox ، Safari ، Opera، IE11 و Edge) استفاده می شود.

تنها روشی که در این زمان می توان برای دور زدن HSTS استفاده کرد ، حمله مبتنی بر NTP است که فقط یک بار با http قابل بارگیری است.

چگونه می توان آموزش فعال سازی HSTS را در Direct Admin اضافه کرد تا از لیست HSTS بارگیری شود؟

برای افزودن دامنه به لیست پیش بارگذاری HSTS ، به چند پیش نیاز برای آن دامنه نیاز داریم. در اینجا مواردی وجود دارد که شما باید برای افزودن دامنه خود به لیست پیش بارگذاری hsts:

اطمینان حاصل کنید که سایت شما دارای گواهی معتبر است. اگر سایت های شما از طریق HTTP در دسترس هستند ، تمام درخواست ها را به HTTPS هدایت کنید. اطمینان حاصل کنید که نقاط 1 و 2 فوق در مورد همه حوزه ها و زیر دامنه های شما اعمال می شود. (مطابق سوابق DNS خود درخواست کنید) ارسال با استفاده از فرم موجود. در صورت رعایت شرایط ، دامنه شما برای افزودن به پیش بارگذاری در صف قرار می گیرد.

برای انجام این کار ، باید مقادیر زیر را به سربرگ اضافه کنیم:

هدر همیشه Strict-Transport-Security را تنظیم کنید "حداکثر سن = 63072000 ؛ شامل SubDomains ؛ preload"

هدر همیشه Strict-Transport-Security را تنظیم کنید "حداکثر سن = 63072000 ؛ شامل SubDomains ؛ preload"

اگر سرپرست مستقیم دارید ، باید مقدار زیر را در بخش اول httpd سفارشی در مدیر مستقیم قرار دهیم:

| * اگر SSL_TEMPLATE = "1" |
هدر همیشه Strict-Transport-Security را تنظیم کنید "حداکثر سن = 63072000 ؛ شامل SubDomains ؛ preload"
| * endif |

| * اگر SSL_TEMPLATE = "1" |

هدر همیشه Strict-Transport-Security را تنظیم کنید "حداکثر سن = 63072000 ؛ شامل SubDomains ؛ preload"

| * endif |

اگر از کنترل پنل Cpanel استفاده می کنید ، برای فعال کردن HSTS مقدار زیر را در فایل htaccess در سایت اضافه کنید:

هدر تنظیم دقیق – حمل و نقل-امنیتی "max-age = 31536000" env = HTTPS

هدر تنظیم دقیق – حمل و نقل-امنیتی "max-age = 31536000" env = HTTPS

بررسی کنید که HSTS فعال است

از طریق سایت hstspreload می توانید تست کنید که hsts در سایت فعال هستند یا خیر.

در آخر ، توجه داشته باشید که با فعال کردن HSTS ، هر وب سایت می تواند از یک لایه امنیتی اضافی نه تنها از منظر سئو بلکه از دید مشتری نیز بهره مند شود. اگر سایت تجارت الکترونیکی یا یک سایت بازرگانی دارید ، HSTS ضروری است.
در نظر بگیرید که امنیت اضافه شده و افزایش سرعت بارگذاری برابر با سئو و در نهایت تجربه بهتر کاربر است.

برگرفته از (makeuseof.com)

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

15 − سه =