上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。
FreeBuf百科:什么是HSTS?
HSTS代表HTTP Strict Transport Security,这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,因此如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。
HSTS这个协议还能保护用户的数据免受HTTPS降级攻击(跳转时直接降级为HTTP)、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS连接免受SSL攻击最好的方法,但这一协议还没有被大多数浏览器支持。
95%的Https网站没有使用HSTS
去年三月份,Netcraft做了一项调查报告,报告显示当前百分之95的服务器运行的HTTPS没有正确地设置HSTS或是配置错误,以至于将HTTPS连接暴露于攻击风险之中。而针对这些不安全的站点最容易的攻击场景是 HTTPS 降级攻击,攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密,以进行数据窃取。
为了支持HSTS机制,谷歌方面做了很多的工作,包括解决混合内容(HTTPS页面含有HTTP内容),损坏的HREFs(超文本引用),以及重定向到HTTP。除此之外,谷歌还需要对一些遗留的服务进行更新。由于谷歌的访问量很大,安全问题更是重中之重,所以支持HSTS对于谷歌来说十分必要。谷歌表示在传输中加密数据有助于保护用户及其数据安全。目前旗鱼浏览器等主流浏览器都支持HSTS机制,因此只要网站支持https,针对HTTP的漏洞就越来越难以发挥作用。
谷歌的技术产品经理Jay Brown表示:
我们对于实施HSTS是很激动的,在传输时加密数据可以保护用户数据的安全,我们会在未来几个月内将其扩展到更多的领域和谷歌产品当中。