Nếu bạn có những câu hỏi như “HSTS là gì?”   và “Tại sao nhiều tổ chức không sử dụng bảo mật vận chuyển nghiêm ngặt http?”  Thì đây là câu trả lời !

Mục lục

• HSTS là gì và nó liên quan như thế nào đến HTTPS?
  • HSTS là gì: HSTS hoạt động như thế nào?
  • HSTS là gì: Cách sử dụng HSTS trên trang web của bạn
  • Mối quan tâm về Quy trình Thực hiện HSTS trên Trang web
• Tải trước HSTS là gì và tại sao nó có lợi cho tổ chức của bạn
• Suy nghĩ cuối cùng về HSTS là gì và việc sử dụng tính năng tải trước HSTS

HSTS là gì và nó liên quan như thế nào đến HTTPS?

Bảo vệ truyền tải nghiêm ngặt HTTP là một chính sách bảo mật mạng cho phép các trang web hướng dẫn các máy khách web (trình duyệt) để các kết nối web an toàn hơn cho người dùng. Còn được gọi là SSL HSTS

Ý tưởng đằng sau HSTS là bắt buộc các trình duyệt phải luôn sử dụng kết nối giao thức truyền siêu văn bản (HTTPS) an toàn khi tải một trang web

Hãy cùng tìm hiểu sơ lược về HTTPS trước khi đi xa hơn: Một kết nối an toàn, được mã hóa giữa hai bên – thường là máy khách web (trình duyệt) và máy chủ web (trang web) mà họ đang kết nối – được gọi là HTTPS. Việc cài đặt chứng chỉ SSL / TLS trên máy chủ của trang web sẽ tạo điều kiện cho kết nối HTTPS. Khi chứng chỉ là tổ chức (OV) hoặc xác thực mở rộng (EV), đảm bảo rằng người dùng đang kết nối với máy chủ của tổ chức hợp pháp đồng thời bảo vệ tính toàn vẹn của kết nối.

Bây giờ, quay lại khái niệm HSTS…

Khi HSTS được bật, ngay cả khi người dùng web nhập “http: //” vào URL trang web, trình duyệt sẽ kết nối với trang web bằng giao thức “https: //” an toàn thay vì giao thức HTTP không an toàn. Kích hoạt tính năng bảo mật vận chuyển nghiêm ngặt HTTP giống như việc cha mẹ bạn nói với bạn khi còn nhỏ rằng thay vì đi theo những con hẻm râm mát hoặc những con đường ít người qua lại, bạn nên luôn đi bộ về nhà vào ban đêm dọc theo con đường an toàn, đủ ánh sáng và nhiều người qua lại.

Bạn có thể sẽ tránh được những kẻ giết người hàng loạt và hay những tên biến thái ẩn nấp trong bóng tối nếu bạn đi bộ. Người dùng của bạn sẽ có kết nối an toàn nếu bạn sử dụng HTTPS. Trong cả hai trường hợp, đó dường như là một tình huống đôi bên cùng có lợi.

HSTS là gì: HSTS hoạt động như thế nào?

Ví dụ trên trang Mozilla MDN để hiểu rõ hơn về cách HSTS hoạt động trong thực tế:

“Bạn đăng nhập vào điểm truy cập WiFi miễn phí tại sân bay và bắt đầu lướt web, truy cập dịch vụ ngân hàng trực tuyến để kiểm tra số dư và thanh toán một vài hóa đơn. Thật không may, điểm truy cập bạn đang sử dụng thực sự là máy tính xách tay của tin tặc và chúng đang chặn yêu cầu HTTP của bạn và chuyển hướng bạn đến một trang giả / fake của trang web ngân hàng của bạn thay vì đồ thật. Bây giờ dữ liệu cá nhân của bạn đã bị lộ cho tin tặc.

An ninh vận chuyển nghiêm ngặt giải quyết vấn đề này; Miễn là bạn đã truy cập trang web của ngân hàng của mình một lần bằng HTTPS và trang web của ngân hàng sử dụng Bảo mật truyền tải nghiêm ngặt, trình duyệt của bạn sẽ tự động chỉ sử dụng HTTPS, điều này ngăn chặn tin tặc thực hiện loại người trung gian này tấn công.”

Cách kỹ thuật hơn mà HSTS hoạt động là nó gửi các thông số bảo mật cụ thể đến các máy khách trang web hỗ trợ HTTPS thông qua tiêu đề HTTP. Về cơ bản, chính sách yêu cầu trình duyệt bật HSTS cho miền đó (hay cả tên miền phụ) và ghi nhớ thông tin đó trong một khoảng thời gian nhất định.

HSTS là gì: Cách sử dụng HSTS trên trang web của bạn

Bạn có tò mò muốn biết HSTS hỗ trợ những trình duyệt nào không? Một số trình duyệt chính (cả dành cho máy tính để bàn và thiết bị di động) đã có các phiên bản tương thích với HSTS của các ứng dụng của họ, bao gồm:

• Google Chrome
• Apple Safari
• Mozilla Firefox
• Internet Explorer và Edge của Microsoft
• Opera

Cú pháp cho loại chính sách này sẽ giống như thông tin tiêu đề ví dụ này từ MDN của Mozilla:

Strict-Transport-Security: max-age=<expire-time>

Bạn có thể viết hướng dẫn cho số giây cụ thể mà HSTS sẽ được bật. Vì vậy, để đặt HSTS cho một năm (365), bạn có thể sử dụng tiêu đề sau:

Strict-Transport-Security: max-age=31536000;

Và, nếu bạn muốn đảm bảo rằng chính sách hướng trình duyệt cũng luôn tải các miền phụ qua HTTPS, bạn có thể chỉ định điều đó bằng cách sử dụng quy tắc này:

Strict-Transport-Security: max-age=31536000; includesSubDomains

Mối quan tâm về Quy trình Thực hiện HSTS trên Trang web

Những điều này rõ ràng là tuyệt vời và làm cho Internet trở thành một nơi an toàn hơn cho người dùng. Tuy nhiên, sẽ thiếu sót nếu không thêm một lời cảnh báo: HSTS không hoàn toàn không có rủi ro. Khi người dùng tải một trang web hỗ trợ HSTS lần đầu tiên, rất có thể tin tặc có thể lợi dụng kết nối ban đầu đó.

Bởi vì một hacker với các công cụ và kiến ​​thức phù hợp có thể hạ cấp kết nối được mã hóa trong tích tắc trước khi trình duyệt của người dùng tải xuống thông báo tiêu đề đó. Điều này sẽ cho phép họ hướng họ đến một trang web lừa đảo hoặc đánh cắp dữ liệu trực tiếp.

Tuy nhiên, nếu điều đó không đủ để ngăn bạn sử dụng bảo mật truyền tải nghiêm ngặt HTTP hãy tải trước HSTS là một phương pháp ngăn chặn tin tặc khai thác cửa sổ đó để thu lợi riêng.

Tải trước HSTS là gì và tại sao nó có lợi cho tổ chức của bạn

Mặc dù không bắt buộc, nhưng việc kích hoạt HSTS có thể mang lại lợi ích cho các doanh nghiệp và tổ chức coi trọng quyền riêng tư và bảo mật dữ liệu của khách hàng của họ. HSTS đặc biệt hữu ích cho các trang web có lượng khách hàng đăng nhập cao, có thể là mục tiêu hấp dẫn cho một cuộc tấn công trung gian. Và tải trước HSTS là một cách tuyệt vời để thực hiện điều này đồng thời giảm thiểu rủi ro liên quan đến việc kết nối với trang web hỗ trợ HSTS lần đầu tiên.

Danh sách tải trước HSTS là danh sách các miền mà trình duyệt web bắt buộc phải cung cấp bằng cách sử dụng kết nối HTTPS được mã hóa mọi lúc. Tất cả các trình duyệt chính, bao gồm Chrome, Firefox và Safari, sử dụng danh sách tải trước HSTS của Google hoặc có danh sách tải trước của riêng họ dựa trên danh sách đó

Một số tên nổi tiếng đã có trong danh sách tải trước HSTS, theo Dự án Chromium của Google:

• Google
• Vạch sọc
• Twitter
• LastPass
• Đơn giản

Ngay cả chính phủ Hoa Kỳ cũng đã tham gia vào cuộc chiến tải trước HSTS!  Vào tháng 6 năm 2020, Cục Quản lý Dịch vụ Tổng hợp Hoa Kỳ (GSA) đã thông báo ý định sử dụng tính năng tải trước HSTS cho tất cả mới Miền .gov bắt đầu từ ngày 1 tháng 9 năm 2020. Mục tiêu (cuối cùng) của họ là buộc kết nối HTTPS cho tất cả các trang web .gov, nhưng điều đó sẽ mất vài năm để thực hiện cho tất cả các trang web .gov hiện có.

Trong trường hợp tên miền cấp cao nhất (TLD) của.gov, điều này có nghĩa là nếu người dùng kết nối với trang web a.gov trong danh sách đó bằng trình duyệt hỗ trợ HSTS, họ sẽ chỉ có thể truy cập nó qua HTTPS.

Nếu bạn muốn miền của mình được đưa vào danh sách tải trước HSTS, bạn có thể sử dụng tiêu đề này:

Strict-Transport-Security: max-age=31536000; includesSubDomains; preload

Suy nghĩ cuối cùng về HSTS là gì và việc sử dụng tính năng tải trước HSTS

Việc sử dụng kết nối HTTPS cho trang web của bạn là rất quan trọng, cả về mặt bảo mật dữ liệu của khách hàng (và dữ liệu của chính bạn) và về mặt xuất hiện hợp pháp trong các thuật toán tìm kiếm của Google. Bởi vì, một vài năm trước, Google đã thực sự bắt buộc HTTPS bằng cách đưa nó vào làm một trong những yếu tố xếp hạng của mình.

Vì vậy, mặc dù việc sử dụng tải trước HSTS và HSTS không phải là bắt buộc (trừ khi bạn phụ trách các miền .gov mới bắt đầu từ ngày 1 tháng 9), nhưng thật dễ hiểu tại sao chúng có thể được coi là một phương pháp thông minh chung trong đó có bảo mật trang web.

Đó là một quy trình đơn giản nhưng hiệu quả để triển khai nhằm cung cấp bảo mật cao hơn cho người dùng của bạn về dữ liệu cá nhân và / hoặc tài chính của họ. Điều này giúp trang web của bạn đạt được sự tin tưởng cao hơn trong mắt người dùng. Bật HSTS giúp đảm bảo rằng bạn vẫn tuân thủ các quy định về quyền riêng tư và bảo mật dữ liệu yêu cầu sử dụng HTTPS.

CyberGuars / Security365

Lịch Khai Giảng Các Chương Trình Đào Tạo HACKER THIỆN CHÍ