Qu'est-ce que le HSTS et comment protège-t-il HTTPS des pirates?
Vous vous êtes peut-être assuré que SSL est activé sur vos sites Web et que le joli cadenas de sécurité de votre navigateur est vert. Cependant, vous avez peut-être oublié le petit homme de sécurité de HTTP, HTTP Strict Transport Security (HSTS)..
Qu'est-ce que le HSTS et comment peut-il aider à protéger votre site?
Qu'est-ce que HTTPS??
Le protocole HTTPS (Hyper Text Transfer Protocol Secure) est une version sécurisée d'un site Web (HTTP). Le cryptage est activé à l'aide du protocole SSL (Secure Sockets Layer) et est validé avec un certificat SSL. Lorsque vous vous connectez à un site Web HTTPS, les informations transférées entre le site Web et l'utilisateur sont cryptées..
Ce cryptage vous protège contre le vol de données grâce aux attaques de type "Man-in-the-Middle-Attacks". La couche de sécurité ajoutée contribue également à améliorer légèrement la réputation de votre site Web. Demystify SEO: 5 guides d'optimisation de moteur de recherche qui vous aident à commencer Demystify SEO: 5 guides d'optimisation de moteur de recherche qui vous aident à commencer et erreur. Vous pouvez commencer à apprendre les principes fondamentaux et à éviter facilement les erreurs de référencement courantes à l'aide de nombreux guides de référencement disponibles sur le Web. Lire la suite . En fait, l'ajout d'un certificat SSL est si facile que de nombreux hébergeurs l'ajouteront à votre site par défaut, gratuitement! Cela dit, HTTPS a encore quelques défauts que HSTS peut aider à corriger.
Qu'est-ce que la TVH??
HSTS est un en-tête de réponse qui informe un navigateur que les sites Web activés ne sont accessibles que via HTTPS. Cela oblige votre navigateur à ne pouvoir accéder qu'à la version HTTPS du site Web et à ses ressources..
Vous ne savez peut-être pas que, même si vous avez correctement configuré votre certificat SSL et activé HTTPS pour votre site Web, la version HTTP est toujours disponible. Cela est vrai même si vous avez configuré le transfert à l'aide de la redirection permanente 301.
Bien que la stratégie HSTS soit en vigueur depuis quelque temps déjà, elle n'a été officiellement lancée par Google qu'en juillet 2016. C'est peut-être pour cette raison que vous n'en avez pas encore beaucoup entendu parler..
L'activation de HSTS arrêtera les attaques par le protocole SSL et le piratage des cookies. Qu'est-ce qu'un cookie et quel est son rapport avec ma vie privée? [MakeUseOf explique] Qu'est-ce qu'un cookie et quel est son rapport avec ma vie privée? [MakeUseOf explique] La plupart des gens savent qu'il existe des cookies dispersés sur Internet, prêts à être consommés par ceux qui les trouvent en premier. Attends quoi? Cela ne peut pas être juste. Oui, il existe des cookies… En savoir plus deux vulnérabilités supplémentaires dans les sites Web activés pour SSL. Et en plus de sécuriser un site Web, HSTS accélérera le chargement des sites en supprimant une étape de la procédure de chargement..
Qu'est-ce que SSL Stripping??
Bien que HTTPS soit une énorme amélioration par rapport à HTTP, il n’est pas invulnérable au piratage. Le dénudage SSL est un hack MITM très courant pour les sites Web qui utilise la redirection pour envoyer des utilisateurs d'un HTTP à la version HTTPS de leur site Web..
La redirection 301 (permanente) et 302 (temporaire) fonctionne comme suit:
- Un utilisateur tape google.com dans la barre d'adresse de leur navigateur.
- Le navigateur essaie initialement de charger http://google.com comme défaut.
- “Google.com” est mis en place avec une redirection permanente 301 vers https://google.com.
- Le navigateur voit la redirection et se charge https://google.com au lieu.
Avec la suppression de SSL, le pirate informatique peut utiliser le temps écoulé entre les étapes 3 et 4 pour bloquer la demande de redirection et empêcher le navigateur de charger la version sécurisée (HTTPS) du site Web. Lorsque vous accédez ensuite à une version non chiffrée du site Web, toutes les données que vous entrez peuvent être volées..
Le pirate informatique peut également vous rediriger vers une copie du site Web auquel vous essayez d'accéder et capturer toutes vos données au fur et à mesure que vous les saisissez, même si vous semblez sécurisé..
Google a implémenté des étapes dans Chrome pour arrêter certains types de redirection. Cependant, l'activation du HSTS devrait être quelque chose que vous ferez par défaut pour tous vos sites Web à partir de maintenant..
Comment l'activation de HSTS empêche-t-elle l'extraction de SSL??
L'activation de HSTS oblige le navigateur à charger la version sécurisée d'un site Web et ignore toute redirection et tout autre appel pour ouvrir une connexion HTTP. Cela ferme la vulnérabilité de redirection qui existe avec les redirections 301 et 302..
Même le système HSTS présente un aspect négatif, à savoir que le navigateur de l'utilisateur doit voir l'en-tête HSTS au moins une fois avant de pouvoir en tirer parti pour de futures visites. Cela signifie qu'ils devront passer par le processus HTTP> HTTPS au moins une fois, ce qui les rend vulnérables la première fois qu'ils visitent un site Web compatible HSTS..
Pour lutter contre cela, Google Chrome précharge la liste des sites Web sur lesquels HSTS est activé. Les utilisateurs peuvent soumettre eux-mêmes des sites Web compatibles HSTS à la liste de préchargement s’ils répondent aux critères (simples) requis..
Les sites Web ajoutés à cette liste seront codés en dur dans les futures versions des mises à jour de Chrome. Il garantit que toutes les personnes visitant des sites Web activés HSTS dans des versions mises à jour de Chrome resteront en sécurité..
Firefox, Opera, Safari et Internet Explorer ont leur propre liste de préchargement HSTS, mais ils sont basés sur la liste Chrome sur hstspreload.org.
Comment activer HSTS sur votre site Web
Pour activer HSTS sur votre site Web, vous devez d'abord disposer d'un certificat SSL valide. 7 raisons pour lesquelles votre site nécessite un certificat SSL. 7 raisons pour lesquelles votre site nécessite un certificat SSL. Peu importe que vous développiez un blog modeste ou un e-commerce complet site: vous avez besoin d'un certificat SSL. Voici quelques raisons pratiques pour lesquelles. Lire la suite . Si vous activez HSTS sans aucun serveur, votre site ne sera accessible à aucun visiteur. Assurez-vous donc que votre site Web et tous les sous-domaines fonctionnent via HTTPS avant de continuer..
Activer le HSTS est assez facile. Vous devez simplement ajouter un en-tête au fichier .htaccess sur votre site. L'en-tête que vous devez ajouter est:
Strict-Transport-Security: âge maximum 31536000; includeSubDomains
Cela ajoute un cookie d'accès d'un an maximum (qu'est-ce qu'un cookie? Les cookies ne sont pas tous mauvais: 6 raisons de les laisser activés sur votre navigateur Les cookies ne sont pas tous mauvais: 6 raisons de les laisser activés sur votre navigateur Cela met-il votre sécurité et votre confidentialité en péril ou existe-t-il de bonnes raisons d'activer les cookies? En savoir plus), qui inclut votre site Web et ses sous-domaines. Une fois qu'un navigateur a accédé au site Web, il ne peut plus accéder à la version HTTP non sécurisée du site Web pendant un an. Assurez-vous que tous les sous-domaines de ce domaine sont inclus dans le certificat SSL et que HTTPS est activé. Si vous oubliez cela, les sous-domaines ne seront plus accessibles après l'enregistrement du fichier .htaccess..
Sites Web qui manquent le includeSubDomains Cette option peut exposer les visiteurs à des fuites en matière de confidentialité en permettant aux sous-domaines de manipuler les cookies. Avec includeSubDomains activé, ces attaques liées aux cookies ne seront pas possibles.
Remarque: Avant d’ajouter l’âge maximal d’un an, testez d’abord votre site Web dans un délai maximal de cinq minutes, en utilisant: max-age = 300;
Google vous recommande même de tester votre site Web et ses performances (trafic) avec une valeur d'une semaine et d'un mois avant de mettre en place un âge maximal de deux ans..
Cinq minutes: Strict-Transport-Security: max-age = 300; includeSubDomains Une semaine: Strict-Transport-Security: max-age = 604800; includeSubDomains Un mois: Strict-Transport-Security: max-age = 2592000; includeSubDomains
Faire la liste de préchargement HSTS
Vous devez maintenant connaître HSTS et comprendre pourquoi il est important que votre site l’utilise. La sécurité en ligne des visiteurs de votre site Web devrait constituer un élément clé de la planification de votre site..
Pour être éligible à la liste de préchargement HSTS utilisée par Chrome et d'autres navigateurs, votre site Web doit répondre aux exigences suivantes:
- Servir un certificat SSL valide.
- Redirection de HTTP vers HTTPS sur le même hôte, si vous écoutez sur le port 80.
- Servir tous les sous-domaines sur HTTPS. En particulier, vous devez prendre en charge HTTPS pour www.subdomain si un enregistrement DNS existe pour ce sous-domaine.
- Servez un en-tête HSTS sur le domaine de base pour les demandes HTTPS:
- L'âge maximum doit être d'au moins 31536000 secondes (1 an).
- La directive includeSubDomains doit être spécifiée.
- La directive de précharge doit être spécifiée.
- Si vous diffusez une redirection supplémentaire à partir de votre site HTTPS, cette redirection doit toujours avoir l'en-tête HSTS (plutôt que la page à laquelle elle redirige)..
Si vous souhaitez ajouter votre site Web à la liste de préchargement HSTS, veillez à ajouter les informations requises. précharge étiquette. le “précharge” option signifie que vous souhaitez que votre site Web soit ajouté à la liste de préchargement HSTS de Chrome. L'en-tête de la réponse dans .htaccess devrait alors ressembler à ceci:
Strict-Transport-Security: max-age = 63072000; includeSubDomains; précharge
Nous vous recommandons d’ajouter votre site Web à hstspreload.org. Les exigences sont assez faciles à satisfaire. Cela contribuera à protéger les visiteurs de votre site Web et, éventuellement, à améliorer le classement de votre site dans les moteurs de recherche. Comment fonctionnent les moteurs de recherche? Comment fonctionnent les moteurs de recherche? Pour beaucoup de gens, Google est l’internet. C'est sans doute l'invention la plus importante depuis Internet. Et bien que les moteurs de recherche aient beaucoup changé depuis, les principes sous-jacents sont toujours les mêmes. Lire la suite .
En savoir plus sur: HSTS, HTTPS, sécurité en ligne, SSL.