当前位置：首页 > article >正文

【学习笔记】SSL/TLS安全机制之HSTS

article 2024/9/23 17:26:53

1、What：HSTS全称HTTP Strict Transport Security，HTTP严格传输安全。

2、Why：因为HTTP 在重定向到 HTTPS 之前存在漏洞

用户在浏览时很少明确输入 https://
- 有时，用户正好通过http来访问网站，网站服务器知道这应该是安全访问，然后进行http 301重定向（redirect），以此来告诉Client再次请求并且这次用https
  - 初始的请求可能成为（中间人的）攻击媒介

3、What HSTS Trying to Solve

SSL Stripping Attack（SSL剥离攻击）- 中间人代理HTTP到HTTPS连接
- DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL（一个演讲）

4、How it happens

HSTS指示浏览器“site.com”被访问时必须总是以HTTPS的方式
- 用户通过HTTPS浏览网站
- 然后Web Server会提供该网站的内容，还有HSTS指令：
  - max-age - 自动通过 HTTPS 请求站点的持续时间（秒）
  - includeSubDomains - （重定向）自动应用到所有子域名，例如www.site.com、mail.site.com等
- 示例，当我们在浏览器地址栏输入http://site.com，会自动重定向到https://site.com
  - 我们打开Chrome - 更多工具 - 开发者工具 - Network - 点击Name的第一个 - Headers，得到如上图所示内容。我输入的请求是http，我得到的响应是Internal Redirect，告诉我应该用https来访问该网站。由上图可看到，重定向的理由是HSTS。307 Internal Redirect表明我们的请求实际上并未成功，也表明中间人无法进行有效攻击，本例中Chrome自动将http重定向到https。
- 不幸的是，我们首次访问网站时仍然容易受到剥离攻击（SSL Stripping），HSTS的制造者也考虑到这一点了
- HSTS Preload
  - 浏览器本地维护的 HSTS 网站静态列表
  - 网站操作员可以申请预载状态 - https://hstspreload.org/
- 综上，网站提供了3种 HSTS 指令，分别是max-age、includeSubDomains和preload
好处：HSTS 还会禁用点击 SSL/TLS 警告的功能
- 例如，用户通过HTTPS访问（在HSTS列表上的）网站，然后收到了证书错误，浏览器会禁用点击SSL警告的功能（也就没法继续访问了）
此外，3种指令通常出现在同一行，某种程度上他们以同种方式工作