پروتکل HSTS

پروتکل HSTS چیست؟ + چرا از HSTS استفاده کنیم؟

فهرست مطالب

ازآنجا که تهدیدات سایبری با سرعت غیر قابل باوری در حال رشد و تحول هستند محافظت از داده‌ها در خلال انتقال آن‌ها مسئله‌ای مهم به حساب می‌آید. برای محافظت از داده‌ها راهکارها و اقدامات زیادی وجود دارد که یکی از آن‌ها پروتکل HSTS است. این مقاله به توضیح درباره HSTS می‌پردازد. پس تا انتها همراه ما باشید.

HSTS چیست؟

HSTS عبارت است از یک مکانیزم سیاست امنیتی وب که به محافظت از وب سایت شما در برابر حملات مختلف می‌پردازد این پروتکل به وب سرورها اجازه می‌دهد تا بیان کنند مرورگرهای وب تنها باید با اتصالات HTTPS در تعامل باشند و از طریق پروتکل‌های ناامن این تعامل برقرار نشود. استفاده از پروتکل HTTP Strict Transport Security (HSTS) تضمین می‌کند تا تمامی ارتباطات میان مرورگرهای کاربران و وب سایت‌ها ایمن و رمزگذاری باشد.

تاریخچه HSTS

HSTS (HTTP Strict Transport Security) از جمله مکانیزم‌های امنیتی مهم در وب سایت‌ها به حساب می‌آید که در سال 2012 به عنوان یک استاندارد منتشر شد. در گذشته استفاده از HTTP بسیار متداول بود و مهاجمان می‌توانستند از آن برای تغییر ترافیک میان کاربر و سرور استفاده نمایند. در سال 2009 در مقاله‌ای به نام “ForceHTTPS: Protecting High-Security Web Sites from Network Attacks” روش‌هایی را برای بهبود امنیت وب‌سایت‌ها در برابر حملات شبکه‌ای معرفی کردند که پایه‌های اولیه HSTS را شکل داد.

یک سال بعد پیش‌نویسی از HSTS  به (IETF (Internet Engineering Task Force ارسال شد. در نهایت در سال 2012 این پروتکل منتشر و به مرورزمان توسط مرورگرهای مختلف مورد استفاده قرار گرفت و پیوسته روند رشد، تکامل و گسترش خود را طی نمود.

HSTS چگونه کار می‌کند؟

HSTS یک مکانیزم امنیتی است که به وب سایت‌ها اجازه می‌دهد تا مطمئن شوند مرورگرها تنها به وسیله پروتکل HTTPS به آن‌ها وصل می‌شوند و از HTTP استفاده نمی‌کنند. این پروتکل باعث می‌شود تا از حملات مختلف جلوگیری شود. زمانی که مرورگر وب به وب سایتی با پروتکل HSTS مواجه می‌شود سایت یک  هدر نشان می‌دهد. این هدر بیان می‌کند که بایستی برای درخواست‌های خود به این سایت برای تایم مشخصی باید به جای HTTP، فقط از HTTPS استفاده شود. نحوه فعالیت این پروتکل به زبان ساده به این صورت است که

  1. کاربر در ابتدا مایل است تا با استفاده از HTTP به وب سایت دسترسی یابد.
  2. وب سایت پاسخی ارسال کرده و به مرورگر می‌گوید باید از HTTPS برای مدت زمان مشخصی استفاده کند.
  3. مرورگر به صورت خودکار و برای یک بازه زمانی مشخص درخواست‌های HTTP را به وسیله پارامتر max-age در هدر HSTS به HTTPS هدایت می‌کند.

مزایای استفاده از HSTS

مکانیزم HSTS مزایای زیادی را برای شما به همراه دارد و می‌تواند امنیت وب سایت شما را تا حد زیادی افزایش دهد. شما انتخاب این مکانیزم می‌توانید:

  1. از حملات مهاجمان تا حد زیادی جلوگیری کنید و اتصالات ناامن را به اتصالاتی امن تبدیل نمایید.
  2. پروتکل HSTS با رمزگذاری نمودن همه اتصالات از داده‌های حساس شما در برابر هکرها و ربوده شدن کوکی‌ها جلوگیری می‌کند.
  3. اجرای HTTPS را آسان می‌سازد و نیاز به تغییر مسیر دستی یا خطر از دست رفتن پیوندهای ناامن را از بین می‌برد.

دلایل استفاده از HSTS

استفاده از این پروتکل برای وب سایت‌هایی که با اطلاعات حساس سروکار دارند و در کنار آن مایل‌اند تا حریم خصوصی کاربران خود را ضمانت کنند بسیار مهم است. برخی از دلایل استفاده از HSTS به شرح زیر است.

  1. بهبود امنیت داده‌ها در حین انتقال و در برابر حملات مختلف.
  2. افزایش اعتماد و امنیت کاربران هنگام ورد به وب سایت‌ها.
  3. و…

پیاده سازی HSTS

  • اطمینان حاصل کنید که سایت شما با الزامات مطابقت دارد: این الزامات شامل ارائه گواهی SSL، هدایت ترافیک‌ها از HTTP به HTTPS، ارائه زیر دامنه‌ها از طریق HTTPS و لحاظ کردت هدر HSTS در پاسخ‌های ارسال شده از طریق HTTPS است.
  • HSTS را روی سرور خود تنظیم کنید: وب سرور خود را برای ارسال هدر HSTS با دستورالعمل‌های مناسب پیکربندی کنید.
  • تنظیمات خود را آزمایش کنید: بررسی کنید پیکربندی‌ها به همان صورت که باید کار می‌کنند. برای این آزمایش شما می‌توانید از ابزارهای آنلاین استفاده کنید.
  • ارسال سایت برای بارگیری از قبل: پس از اینکه تأیید کردید سایت شما تمامی الزامات را دارد و به درستی پیکربندی شده است می‌توانید آن را در لیست پیش بارگذاری قرار دهید.
  • تأیید ارسال و پیگیری: پس از ارسال سایت شما، بررسی‌های لازم انجام و بعد از آن برای درج در لیست پیش بارگذاری قرار می‌گیرد. در صورتی که مشکلاتی وجود داشته باشد که نیازمند حل شدن است سایت بازخوردهایی را ارائه می‌دهد. فراموش نکنید که این روند ممکن است زمان بر باشد.
  • بر سایت خود نظارت داشته باشید: پس از اینکه وب سایت شما در لیست پیش بارگذاری قرار گرفت بایستی به پیکربندی HTTPS سایت و حفظ انطباق با الزامات پیش بارگذاری HSTS نظارت داشته باشید. در صورتی که به ایجاد تغییر نیاز داشت به انجام کارهای لازم بپردازید.

برای پیاده سازی HSTS به اضافه نمودن Strict-Transport-Security به پاسخ‌های وب سرور نیاز است. برای اجرای HSTS شما بایستی یک سری نکات را در نظر داشته باشید. مثلاً

  1. پیش از اجرای پروتکل HSTS در سایت آن را آزمایش کنید تا بتوانید مشکلات احتمالی را شناسایی و از وقوع آن‌ها جلوگیری نمایید.
  2. میزان age Value باید به‌اندازه‌ای باشد تا امنیت را تضمین کند. ولی در نظر داشته باشید تا بیش از حد طولانی تنظیم نکنید؛ زیرا سایت شما را تنها به دسترسی به HTTPS متعهد می‌سازد.
  3. برنامه‌های پشتیبان داشته باشید تا در صورت بروز مشکل بتوانید از آن استفاده کنید.

HSTS: اثرات استفاده از HSTS بر سئو سایت شما

استفاده از این پروتکل نه به عنوان نقش اصلی بلکه به عنوان یک نقش حاشیه‌ای ولی پر رنگ می‌تواند روسی سئو وب سایت شما اثرگذار باشد. استفاده از این پروتکل می‌تواند امنیت وب سایت شما را تا حد زیادی افزایش دهد. این افزایش امنیت بر اعتماد کاربران اثرگذار است و میزان نرخ خروج کاربران از وب سایت شما را کاهش می‌دهد.

پروتکل HTTPS اثر مثبتی بر روی رتبه بندی وب سایت شما دارد و می‌توان از آن بهره برد. موارد دیگر مثل کاهش زمان بارگیری وب سایت شما به علت استفاده از HTTPS بهبود می‌یابد و می‌تواند روی بهبود تجربه کاربری کاربران و کاهش نرخ پرش مؤثر باشد.

تاثیر پروتکل HSTS بر سئو

چگونه HSTS را برای وب سایت خود فعال کنیم؟

ببینید برای فعال سازی HSTS روی وب سایت خود بایستی یک هدر به نام Strict-Transport-Security به پاسخ‌های HTTP سایت خود اضافه کنید. این هدر به مرورگرها می‌گوید که تنها باید از HTTPS برای اتصال به سایت شما استفاده کنند. برای فعال‌سازی این پروتکل روی برخی از وب سرورها بایستی مسیر زیر را طی کرد.

  • فعال‌سازی HSTS در Nginx

بایستی فایل پیکربندی خود را ویرایش کنید و دستور add_header را به بلوک server که مربوط به پورت 443 (HTTPS) است، اضافه کنید. در نهایت Nginx را ری استارت کنید تا تغییرات اعمال شود.

				
					server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

    location / {
        ...
    }
}

				
			
  • فعال‌سازی HSTS در Apache

فایل پیکربندی سایت یا .htaccess را ویرایش کنید و دستور Header را به فایل اضافه کنید. در نهایت با ری استارت کردن منتظر اعمال تغییرات باشید.

				
					<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

				
			
  • فعال‌سازی HSTS در IIS (Windows Server)

در ابتدا IIS Manager را باز و به وب سایت مورد نظر وارد شوید. پس از آن روی HTTP Response Headers و بعد روی Add کلیک کنید و موارد زیر را وارد و تنظیمات را اعمال نمایید.

  • Name: Strict-Transport-Security
  • Value: max-age=31536000; includeSubDomains; preload

چه تهدیداتی در برابر HSTS خنثی می‌گردند؟

در این بخش به توضیح درباره برخی از حملات و تهدیداتی که به وسیله HSTS به حداقل می‌رسند توضیح می‌دهیم.

  • حملات Man-in-the-Middle (MITM)

نوعی از حملات سایبری است که در آن یک مهاجم به طور مخفیانه به اطلاعات مبادله شده بین دو طرف دسترسی پیدا می‌کند و می‌تواند داده‌ها را مشاهده، تغییر یا تزریق کند. MIM به عنوان یک مکانیزم امنیتی به مرورگر اعلام می‌کند که از HTTPS برای ارتباط با سرور استفاده کند. این امر می‌تواند به شکل مؤثری از حملات MIM جلوگیری کند.

  • ربودن کوکی

به طور غیرمستقیم می‌تواند به کاهش خطر ربودن کوکی‌ها کمک کند. مثلاً با اعلام اینکه فقط باید از HTTPS استفاده کنند مانع از حملات Downgrade و حملات SSL Strip می‌شوند و دسترسی مهاجم‌ها به کوکی‌ها را از بین می‌برند.

  • حملات کاهش رتبه پروتکل (Protocol Downgrade Attacks)

این نوع از حملات که با عنوان حملات Downgrade نیز شناخته می‌شود به گونه‌ای است که مهاجم تلاش می‌کند تا ارتباط میان کاربر و سرور را از پروتکل‌های امن به نا امن کاهش دهد تا بتوانند اطلاعات حساس را شنود کرده و آن‌ها را تغییر دهند و به صورت کلی به ارتباطات دسترسی پیدا کنند. استفاده از HSTS با اطمینان از اینکه مرورگر همیشه از HTTPS برای اتصال به یک سایت استفاده می‌کند و هرگز به HTTP ناامن باز نمی‌گردد، از این نوع حملات جلوگیری می‌کند.

امنیت داده‌های شما در اولویت ماست!
اگر به دنبال سرور مجازی مطمئن و پایدار هستید پیشنهاد ما به شما خریداری سرور مجازی پویان آی تی است و می‌توانید از امنیت بالا، سرعت بی‌نظیر و پشتیبانی ۲۴ ساعته بهره‌مند شوید.

و در آخر

HSTS مخفف HTTP Strict Transport Security روشی است که توسط وب سایت‌ها مورداستفاده قرار می‌گیرد و بیان می‌کند کاربران و مرورگرها تنها با داشتن اتصال امن (HTTPS) می‌توانند به آن دسترسی داشته باشند. این استاندارد نخستین بار در سال 2012 معرفی شد و هدف از آن کمک به جلوگیری از وقوع حملاتی مثل MITM، محافظت از کوکی‌ها و این دست از موارد بود.

سؤالات متداول

  • به چه دلیل بایستی از HSTS استفاده کرد؟

استفاده از HSTS به شما کمک می‌کند تا در برابر حملات مقاوم باشید و از کوکی‌های خود در برابر خطر ربوده شدن و خیلی موارد دیگر محافظت نمایید.

  • HSTS preloading یا پیش بارگذاری HSTS چیست؟

برای اطمینان از اینکه کاربران از بار نخستی که از سایت شما بازدید می‌کنند محافظت می‌شوند شما می‌توانید سایت خود را به لیست HSTS preloading در مرورگر اضافه کنید. انجام این کار به این معناست که نسخه بعدی مرورگر وب سایت شما را در لیست سایت‌هایی قرار خواهد داد که تنها با HTTPS بارگذاری می‌گردند.

به این مقاله امتیاز دهید!

میانگین امتیاز 5 / 5. تعداد رأی ها : 4

هنوز هیچ رأیی داده نشده. اولین نفر باشید!

اشتراک گذاری اشتراک گذاری در تلگرام اشتراک گذاری در لینکدین اشتراک گذاری در ایکس کپی کردن لینک پست

و در ادامه بخوانید

اولین دیدگاه را اضافه کنید.

برچسب ها

امنیت وب سایت پروتکل