HSTS

Что такое HSTS

HTTP Strict-Transport-Security — дополнительное усиление безопасности, которое веб-приложение может указать с помощью специального заголовка ответа. По сути HSTS информирует браузеры о том, что доступ к сайту должен осуществляться только по протоколу HTTPS, и что все будущие попытки доступа к нему по протоколу HTTP должны автоматически преобразовываться в HTTPS.

И на самом деле подобный сценарий более безопасный, чем настройка перенаправления с HTTP на HTTPS (301) на вашем сервере, где начальное HTTP-соединение все еще уязвимо для атаки MITM. Что важно: HSTS игнорируется браузером, если доступ к сайту осуществляется только по HTTP. Когда доступ к вашему сайту осуществляется по HTTPS без ошибок сертификата, браузер понимает, что ваш сайт поддерживает HTTPS, и будет учитывать заголовок Strict-Transport-Security. Браузеры делают это потому, что злоумышленники могут перехватывать HTTP-соединения с сайтом и внедрять или удалять этот заголовок.

От чего помогает защититься HSTS

— Пользователь делает закладки или вручную вводит http://example.com и подвергается атаке MiTM. — HSTS автоматически перенаправляет HTTP-запросы на HTTPS для целевого домена. — Веб-приложение, которое предназначено быть полностью на HTTPS, случайно содержит ссылки на HTTP или предоставляет контент через HTTP. — Автоматически перенаправляет HTTP-запросы на HTTPS для целевого домена. — Злоумышленник пытается перехватить трафик от пользователя-жертвы с использованием недействительного сертификата и надеется, что пользователь примет плохой сертификат. HSTS не позволяет пользователю игнорировать сообщение о недействительном сертификате. Подробнее про настройку и устройство HSTS читайте на сайте OWASP