Google oznámil zapnutie HSTS zabezpečenia pre všetky svoje TLD domény, ktoré vlastní a spravuje.
HSTS znamená web dostupný iba cez HTTPS
HSTS slúži k ochrane webu pred útokmi a krádežami spojenia (cookies). Zjednodušene povedané, web s HSTS prehliadačom oznamuje, že je prístupný iba cez šifrovaný protokol HTTPS. Na taký web sa návštevník nepripojí pomocou HTTP; všetky požiadavky sú automaticky presmerované na HTTPS.
HSTS sa zapína v nastaveniach webového servera a funguje vďaka HTTP hlavičke, v ktorej sú uvedené informácie pre klientov. Prehliadač používateľa na základe tejto hlavičky vie, že daná doména je dostupná len cez HTTPS. V hlavičke je tiež možné špecifikovať odtlačok kľúča, ktorý má prehliadač na webe očakávať. Tejto hlavičke sa hovorí HPKP a používa sa u hodnotných domén, ktoré často čelia pokusom o vystavenie certifikátu pre phishing (domény a služby Google).
Prehliadače majú zabudovaný vlastný zoznam domén, tzv. HSTS preload list. Vďaka zoznamu poznajú domény so zapnutým HSTS ešte pred ich návštevou. Ochrana je potom účinnejšia. Prehliadač Chrome od Googlu má tiež svoj vlastný zoznam domén, ktoré HSTS používajú a navyše má zoznam kľúčov HPKP, v ktorom sú najvýznamnejšie domény ako Google.com, Facebook.com, Twitter.com alebo GitHub.com. Je však nemožné, aby v týchto zoznamoch boli uvedené všetky domény na svete; pridávajú sa preto najmä tie, ktoré sú pre bezpečnosť návštevníkov mimoriadne dôležité (ako napríklad Gmail.com).
HSTS a HPKP nie je bezpečnostná spása
Rovnako ako ostatné bezpečnostné funkcie ani samotné HSTS neposkytne dokonalú ochranu pred všetkými potencionálnymi útokmi. Pri zabezpečení webu je nutné bezpečnostné opatrenia kombinovať a HSTS je len jedným z bezpečnostných nástrojov. Nástroj pomáha dosiahnuť určitý cieľ, jeho samotné použitie nezaručí výsledok. Nasadenie TLS certifikátu tiež nezaručí neprelomiteľné zabezpečenie webu, ak je server nastavený zle a má slabé či zastarané šifrovanie.
Na HSTS sa treba pozerať aj ľahko skepticky; zabezpečenie môže byť pre administrátora pomerne časovo náročné a prináša niektoré riziká.
Zvažujete nasadenie HSTS alebo HPKP?
Ak sami zvažujete použitie oboch techník na zabezpečenie webu, odporúčame najprv prečítať si detailnejšie princíp fungovania a najmä varovanie pred možnými problémami. Pri použití HPKP je vyslovene nutné mať k dispozícii záložný kľúč (teda certifikát) a uvádzať ho v hlavičke; inak môže dôjsť k fatálnej nedostupnosti webu. Možné problémy sa nikdy nedajú plánovať a web nemôže byť odkázaný len na jeden TLS certifikát.
Ing. Peter Tomaščík, špecialista na bezpečnostné SSL certifikáty
www.sslmarket.sk
