پروتکل HSTS چیست؟ + چرا از HSTS استفاده کنیم؟
ازآنجا که تهدیدات سایبری با سرعت غیر قابل باوری در حال رشد و تحول هستند محافظت از دادهها در خلال انتقال آنها مسئلهای مهم به حساب میآید. برای محافظت از دادهها راهکارها و اقدامات زیادی وجود دارد که یکی از آنها پروتکل HSTS است. این مقاله به توضیح درباره HSTS میپردازد. پس تا انتها همراه ما باشید.
HSTS چیست؟
HSTS عبارت است از یک مکانیزم سیاست امنیتی وب که به محافظت از وب سایت شما در برابر حملات مختلف میپردازد این پروتکل به وب سرورها اجازه میدهد تا بیان کنند مرورگرهای وب تنها باید با اتصالات HTTPS در تعامل باشند و از طریق پروتکلهای ناامن این تعامل برقرار نشود. استفاده از پروتکل HTTP Strict Transport Security (HSTS) تضمین میکند تا تمامی ارتباطات میان مرورگرهای کاربران و وب سایتها ایمن و رمزگذاری باشد.
تاریخچه HSTS
HSTS (HTTP Strict Transport Security) از جمله مکانیزمهای امنیتی مهم در وب سایتها به حساب میآید که در سال 2012 به عنوان یک استاندارد منتشر شد. در گذشته استفاده از HTTP بسیار متداول بود و مهاجمان میتوانستند از آن برای تغییر ترافیک میان کاربر و سرور استفاده نمایند. در سال 2009 در مقالهای به نام “ForceHTTPS: Protecting High-Security Web Sites from Network Attacks” روشهایی را برای بهبود امنیت وبسایتها در برابر حملات شبکهای معرفی کردند که پایههای اولیه HSTS را شکل داد.
یک سال بعد پیشنویسی از HSTS به (IETF (Internet Engineering Task Force ارسال شد. در نهایت در سال 2012 این پروتکل منتشر و به مرورزمان توسط مرورگرهای مختلف مورد استفاده قرار گرفت و پیوسته روند رشد، تکامل و گسترش خود را طی نمود.
HSTS چگونه کار میکند؟
HSTS یک مکانیزم امنیتی است که به وب سایتها اجازه میدهد تا مطمئن شوند مرورگرها تنها به وسیله پروتکل HTTPS به آنها وصل میشوند و از HTTP استفاده نمیکنند. این پروتکل باعث میشود تا از حملات مختلف جلوگیری شود. زمانی که مرورگر وب به وب سایتی با پروتکل HSTS مواجه میشود سایت یک هدر نشان میدهد. این هدر بیان میکند که بایستی برای درخواستهای خود به این سایت برای تایم مشخصی باید به جای HTTP، فقط از HTTPS استفاده شود. نحوه فعالیت این پروتکل به زبان ساده به این صورت است که
- کاربر در ابتدا مایل است تا با استفاده از HTTP به وب سایت دسترسی یابد.
- وب سایت پاسخی ارسال کرده و به مرورگر میگوید باید از HTTPS برای مدت زمان مشخصی استفاده کند.
- مرورگر به صورت خودکار و برای یک بازه زمانی مشخص درخواستهای HTTP را به وسیله پارامتر max-age در هدر HSTS به HTTPS هدایت میکند.
مزایای استفاده از HSTS
مکانیزم HSTS مزایای زیادی را برای شما به همراه دارد و میتواند امنیت وب سایت شما را تا حد زیادی افزایش دهد. شما انتخاب این مکانیزم میتوانید:
- از حملات مهاجمان تا حد زیادی جلوگیری کنید و اتصالات ناامن را به اتصالاتی امن تبدیل نمایید.
- پروتکل HSTS با رمزگذاری نمودن همه اتصالات از دادههای حساس شما در برابر هکرها و ربوده شدن کوکیها جلوگیری میکند.
- اجرای HTTPS را آسان میسازد و نیاز به تغییر مسیر دستی یا خطر از دست رفتن پیوندهای ناامن را از بین میبرد.
دلایل استفاده از HSTS
استفاده از این پروتکل برای وب سایتهایی که با اطلاعات حساس سروکار دارند و در کنار آن مایلاند تا حریم خصوصی کاربران خود را ضمانت کنند بسیار مهم است. برخی از دلایل استفاده از HSTS به شرح زیر است.
- بهبود امنیت دادهها در حین انتقال و در برابر حملات مختلف.
- افزایش اعتماد و امنیت کاربران هنگام ورد به وب سایتها.
- و…
پیاده سازی HSTS
- اطمینان حاصل کنید که سایت شما با الزامات مطابقت دارد: این الزامات شامل ارائه گواهی SSL، هدایت ترافیکها از HTTP به HTTPS، ارائه زیر دامنهها از طریق HTTPS و لحاظ کردت هدر HSTS در پاسخهای ارسال شده از طریق HTTPS است.
- HSTS را روی سرور خود تنظیم کنید: وب سرور خود را برای ارسال هدر HSTS با دستورالعملهای مناسب پیکربندی کنید.
- تنظیمات خود را آزمایش کنید: بررسی کنید پیکربندیها به همان صورت که باید کار میکنند. برای این آزمایش شما میتوانید از ابزارهای آنلاین استفاده کنید.
- ارسال سایت برای بارگیری از قبل: پس از اینکه تأیید کردید سایت شما تمامی الزامات را دارد و به درستی پیکربندی شده است میتوانید آن را در لیست پیش بارگذاری قرار دهید.
- تأیید ارسال و پیگیری: پس از ارسال سایت شما، بررسیهای لازم انجام و بعد از آن برای درج در لیست پیش بارگذاری قرار میگیرد. در صورتی که مشکلاتی وجود داشته باشد که نیازمند حل شدن است سایت بازخوردهایی را ارائه میدهد. فراموش نکنید که این روند ممکن است زمان بر باشد.
- بر سایت خود نظارت داشته باشید: پس از اینکه وب سایت شما در لیست پیش بارگذاری قرار گرفت بایستی به پیکربندی HTTPS سایت و حفظ انطباق با الزامات پیش بارگذاری HSTS نظارت داشته باشید. در صورتی که به ایجاد تغییر نیاز داشت به انجام کارهای لازم بپردازید.
برای پیاده سازی HSTS به اضافه نمودن Strict-Transport-Security به پاسخهای وب سرور نیاز است. برای اجرای HSTS شما بایستی یک سری نکات را در نظر داشته باشید. مثلاً
- پیش از اجرای پروتکل HSTS در سایت آن را آزمایش کنید تا بتوانید مشکلات احتمالی را شناسایی و از وقوع آنها جلوگیری نمایید.
- میزان age Value باید بهاندازهای باشد تا امنیت را تضمین کند. ولی در نظر داشته باشید تا بیش از حد طولانی تنظیم نکنید؛ زیرا سایت شما را تنها به دسترسی به HTTPS متعهد میسازد.
- برنامههای پشتیبان داشته باشید تا در صورت بروز مشکل بتوانید از آن استفاده کنید.
HSTS: اثرات استفاده از HSTS بر سئو سایت شما
استفاده از این پروتکل نه به عنوان نقش اصلی بلکه به عنوان یک نقش حاشیهای ولی پر رنگ میتواند روسی سئو وب سایت شما اثرگذار باشد. استفاده از این پروتکل میتواند امنیت وب سایت شما را تا حد زیادی افزایش دهد. این افزایش امنیت بر اعتماد کاربران اثرگذار است و میزان نرخ خروج کاربران از وب سایت شما را کاهش میدهد.
پروتکل HTTPS اثر مثبتی بر روی رتبه بندی وب سایت شما دارد و میتوان از آن بهره برد. موارد دیگر مثل کاهش زمان بارگیری وب سایت شما به علت استفاده از HTTPS بهبود مییابد و میتواند روی بهبود تجربه کاربری کاربران و کاهش نرخ پرش مؤثر باشد.
چگونه HSTS را برای وب سایت خود فعال کنیم؟
ببینید برای فعال سازی HSTS روی وب سایت خود بایستی یک هدر به نام Strict-Transport-Security به پاسخهای HTTP سایت خود اضافه کنید. این هدر به مرورگرها میگوید که تنها باید از HTTPS برای اتصال به سایت شما استفاده کنند. برای فعالسازی این پروتکل روی برخی از وب سرورها بایستی مسیر زیر را طی کرد.
-
فعالسازی HSTS در Nginx
بایستی فایل پیکربندی خود را ویرایش کنید و دستور add_header را به بلوک server که مربوط به پورت 443 (HTTPS) است، اضافه کنید. در نهایت Nginx را ری استارت کنید تا تغییرات اعمال شود.
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
location / {
...
}
}
فعالسازی HSTS در Apache
فایل پیکربندی سایت یا .htaccess را ویرایش کنید و دستور Header را به فایل اضافه کنید. در نهایت با ری استارت کردن منتظر اعمال تغییرات باشید.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
فعالسازی HSTS در IIS (Windows Server)
در ابتدا IIS Manager را باز و به وب سایت مورد نظر وارد شوید. پس از آن روی HTTP Response Headers و بعد روی Add کلیک کنید و موارد زیر را وارد و تنظیمات را اعمال نمایید.
- Name: Strict-Transport-Security
- Value: max-age=31536000; includeSubDomains; preload
چه تهدیداتی در برابر HSTS خنثی میگردند؟
در این بخش به توضیح درباره برخی از حملات و تهدیداتی که به وسیله HSTS به حداقل میرسند توضیح میدهیم.
حملات Man-in-the-Middle (MITM)
نوعی از حملات سایبری است که در آن یک مهاجم به طور مخفیانه به اطلاعات مبادله شده بین دو طرف دسترسی پیدا میکند و میتواند دادهها را مشاهده، تغییر یا تزریق کند. MIM به عنوان یک مکانیزم امنیتی به مرورگر اعلام میکند که از HTTPS برای ارتباط با سرور استفاده کند. این امر میتواند به شکل مؤثری از حملات MIM جلوگیری کند.
ربودن کوکی
به طور غیرمستقیم میتواند به کاهش خطر ربودن کوکیها کمک کند. مثلاً با اعلام اینکه فقط باید از HTTPS استفاده کنند مانع از حملات Downgrade و حملات SSL Strip میشوند و دسترسی مهاجمها به کوکیها را از بین میبرند.
حملات کاهش رتبه پروتکل (Protocol Downgrade Attacks)
این نوع از حملات که با عنوان حملات Downgrade نیز شناخته میشود به گونهای است که مهاجم تلاش میکند تا ارتباط میان کاربر و سرور را از پروتکلهای امن به نا امن کاهش دهد تا بتوانند اطلاعات حساس را شنود کرده و آنها را تغییر دهند و به صورت کلی به ارتباطات دسترسی پیدا کنند. استفاده از HSTS با اطمینان از اینکه مرورگر همیشه از HTTPS برای اتصال به یک سایت استفاده میکند و هرگز به HTTP ناامن باز نمیگردد، از این نوع حملات جلوگیری میکند.
امنیت دادههای شما در اولویت ماست!
اگر به دنبال سرور مجازی مطمئن و پایدار هستید پیشنهاد ما به شما خریداری سرور مجازی پویان آی تی است و میتوانید از امنیت بالا، سرعت بینظیر و پشتیبانی ۲۴ ساعته بهرهمند شوید.
و در آخر
HSTS مخفف HTTP Strict Transport Security روشی است که توسط وب سایتها مورداستفاده قرار میگیرد و بیان میکند کاربران و مرورگرها تنها با داشتن اتصال امن (HTTPS) میتوانند به آن دسترسی داشته باشند. این استاندارد نخستین بار در سال 2012 معرفی شد و هدف از آن کمک به جلوگیری از وقوع حملاتی مثل MITM، محافظت از کوکیها و این دست از موارد بود.
سؤالات متداول
به چه دلیل بایستی از HSTS استفاده کرد؟
استفاده از HSTS به شما کمک میکند تا در برابر حملات مقاوم باشید و از کوکیهای خود در برابر خطر ربوده شدن و خیلی موارد دیگر محافظت نمایید.
HSTS preloading یا پیش بارگذاری HSTS چیست؟
برای اطمینان از اینکه کاربران از بار نخستی که از سایت شما بازدید میکنند محافظت میشوند شما میتوانید سایت خود را به لیست HSTS preloading در مرورگر اضافه کنید. انجام این کار به این معناست که نسخه بعدی مرورگر وب سایت شما را در لیست سایتهایی قرار خواهد داد که تنها با HTTPS بارگذاری میگردند.
به این مقاله امتیاز دهید!
میانگین امتیاز 5 / 5. تعداد رأی ها : 4
هنوز هیچ رأیی داده نشده. اولین نفر باشید!
اولین دیدگاه را اضافه کنید.