当前位置: 首页 > article >正文

【学习笔记】SSL/TLS安全机制之HSTS

1、What:HSTS全称HTTP Strict Transport Security,HTTP严格传输安全。

2、Why:因为HTTP 在重定向到 HTTPS 之前存在漏洞

  • 用户在浏览时很少明确输入 https://
    • 有时,用户正好通过http来访问网站,网站服务器知道这应该是安全访问,然后进行http 301重定向(redirect),以此来告诉Client再次请求并且这次用https
      • 初始的请求可能成为(中间人的)攻击媒介

3、What HSTS Trying to Solve

  • SSL Stripping Attack(SSL剥离攻击)- 中间人代理HTTP到HTTPS连接
    • DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL(一个演讲)

4、How it happens

  • HSTS指示浏览器“site.com”被访问时必须总是以HTTPS的方式
    • 用户通过HTTPS浏览网站
    • 然后Web Server会提供该网站的内容,还有HSTS指令:
      • max-age - 自动通过 HTTPS 请求站点的持续时间(秒)
      • includeSubDomains - (重定向)自动应用到所有子域名,例如www.site.com、mail.site.com等
    • 示例,当我们在浏览器地址栏输入http://site.com,会自动重定向到https://site.com
      •  我们打开Chrome - 更多工具 - 开发者工具 - Network - 点击Name的第一个 - Headers,得到如上图所示内容。我输入的请求是http,我得到的响应是Internal Redirect,告诉我应该用https来访问该网站。由上图可看到,重定向的理由是HSTS。307 Internal Redirect表明我们的请求实际上并未成功,也表明中间人无法进行有效攻击,本例中Chrome自动将http重定向到https。
    •  
    • 不幸的是,我们首次访问网站时仍然容易受到剥离攻击(SSL Stripping),HSTS的制造者也考虑到这一点了 
    • HSTS Preload
      •  浏览器本地维护的 HSTS 网站静态列表
      • 网站操作员可以申请预载状态 - https://hstspreload.org/
      •   
    • 综上,网站提供了3种 HSTS 指令,分别是max-ageincludeSubDomainspreload
  • 好处:HSTS 还会禁用点击 SSL/TLS 警告的功能
    • 例如,用户通过HTTPS访问(在HSTS列表上的)网站,然后收到了证书错误,浏览器会禁用点击SSL警告的功能(也就没法继续访问了)
  • 此外,3种指令通常出现在同一行,某种程度上他们以同种方式工作

5、根据该网站- Qualys SSL Labs - SSL Pulse 2024年5月3日调查的网站总数为134495个,我们可以看到目前有47863个网站支持HSTS,占比35.6%

参考文献

1、网站:Practical Networking.net:Practical TLS


http://www.kler.cn/a/316359.html

相关文章:

  • 国家网络安全法律法规
  • DOCKER 镜像基础命令
  • 01:(手撸HAL+CubeMX)时钟篇
  • ubuntu20.04 解决Pytorch默认安装CPU版本的问题
  • flutter 发版的时候设置版本号
  • 大厂的 404 页面都长啥样?看看你都见过吗~~~
  • apt-get install 安装的tomcat配置
  • biopython提取.cif文件的变换矩阵
  • spring全家桶使用教程
  • Kotlin 操作符 in 的基本使用(十)
  • docker存储
  • 2.《DevOps》系列K8S部署CICD流水线之部署NFS网络存储与K8S创建StorageClass
  • 2016年国赛高教杯数学建模A题系泊系统的设计解题全过程文档及程序
  • Python基础学习(3)
  • SpinalHDL之结构(二)
  • rabbitmq整合skywalking并编写自定义插件增强
  • 超详图解 Apache HTTP Server(httpd)安装与验证
  • 设计模式 享元模式(Flyweight Pattern)
  • 『功能项目』QFrameWorkBug修改器界面【65】
  • 数据结构(十四)——HashMap与HashSet(OJ题)
  • Git 提交规范
  • Flyway 数据库差异处理
  • 机器人速度雅可比矩阵求解(2自由度平面关节机器人)
  • Perl 进程管理
  • 【Nginx-Location-Root】最终访问的路径是 root/$uri
  • 程序员锤炼核心竞争力的五重策略