HSTS – гарантия защищённого соединения

Что это дало владельцам веб-ресурсов?

Прежде всего, возможность устанавливать безопасное соединение без использования HTTP. Это значит, что любой пользователь, который заходит по HTTP, автоматически переключается на HTTPS-сервер с помощью заголовка HTTP Strict-Transport-Security. Другими словами, HSTS — это заголовок ответа сервера, который сообщает браузеру, что он может подключаться к определённому сайту только с помощью протокола HTTPS.

Уязвимости, которые закрывает HSTS:

HSTS – защищённое соединение по HTTPS успешно реализовано

Наша команда успешно внедрила на Вашем сайте технологию HTTP Strict Transport Security (HSTS), которая позволяет активировать форсированное защищённое соединение по HTTPS.

Что это дало владельцам веб-ресурсов?

Прежде всего, возможность устанавливать безопасное соединение без использования HTTP. Это значит, что любой пользователь, который заходит по HTTP, автоматически переключается на HTTPS-сервер с помощью заголовка HTTP Strict-Transport-Security. Другими словами, HSTS — это заголовок ответа сервера, который сообщает браузеру, что он может подключаться к определённому сайту только с помощью протокола HTTPS.

Уязвимости, которые закрывает HSTS:

HSTS – защищённое соединение по HTTPS реализовано на Вашем проекте

Наши специалисты проверили Ваш сайт и определили, что Вы используете технологию HTTP Strict Transport Security (HSTS), которая позволяет активировать форсированное защищённое соединение по HTTPS.

Мы уверены, что при установке этого улучшения Вы изучили все преимущества работы через HSTS, тем не менее, мы хотим упорядочить Ваши знания и ещё раз привести аргументы в пользу технологии HTTP Strict Transport Security (HSTS).

Итак, как Вам уже известно, что HSTS — это заголовок ответа сервера, который сообщает браузеру, что он может подключаться к определённому сайту только с помощью протокола HTTPS. Эта технология предоставляет возможность устанавливать безопасное соединение без использования HTTP. Это значит, что любой пользователь, который заходит по HTTP, автоматически переключается на HTTPS-сервер с помощью заголовка HTTP Strict-Transport-Security.

Какие же уязвимости закрывает HSTS:

Проблема 1: Пользователь добавляет в закладки или набирает в адресной строке сайт с http:// и становится жертвой атаки.

Решение 1: HSTS преобразует HTTP-запросы в HTTPS.

Проблема 2: Приложение, в котором предполагается использование HTTPS, содержит HTTP-ссылки или отдаёт контент по HTTP.

Решение 2: HSTS преобразует HTTP-запросы в HTTPS.

Какие браузеры поддерживают эту технологию?

  • Chromium и Google Chrome с версии 4.0.211.0.

  • Firefox с версии 4, Firefox с версии 17, Mozilla, а также частично веб-сайты, поддерживающие HSTS.

  • Opera с версии 12.

  • Safari из комплекта OS X Mavericks.

Важно отметить, что если веб-сайт принимает соединения по HTTP и перенаправляет их на HTTPS, то пользователь может по ошибке обратиться к незашифрованной версии сайта до перенаправления. Это открывает потенциальную возможность проведения атаки, в которой HTTP- перенаправление в место оригинальной зашифрованной страницы отправит пользователя на подставной сайт.

Механизм HTTP Strict Transport Security позволяет веб-сайту сообщить браузеру, что тот не должен использовать HTTP и, вместо этого, автоматически со своёй стороны преобразовывать все HTTP-запросы в HTTPS.

Существует промежуток, в котором пользователь с новой версией браузера и сброшенными настройками оказывается уязвимым. По этой причине Chrome и Firefox поддерживают список HSTS ресурсов.

Наши специалисты готовы реализовать на Вашем проекте механизм HTTP Strict Transport Security, чтобы Ваши клиенты могли безопасно посещать сайт. Кроме этого, мы можем подобрать другие способы улучшения работы Вашего сайта.

Наша команда успешно реализовала это обновление и готова предложить Вам другие улучшения, которые положительно скажутся на работоспособности Вашего проекта.

Наши специалисты будут рады предложить Вам и другие улучшения, которые помогут Вам контролировать все изменения в проектах и при необходимости вносить свои корректировки, увеличив безопасность Вашего проекта.