【学习笔记】SSL/TLS安全机制之HSTS

1、What：HSTS全称HTTP Strict Transport Security，HTTP严格传输安全。

2、Why：因为HTTP 在重定向到 HTTPS 之前存在漏洞

• 用户在浏览时很少明确输入 https://
  • 有时，用户正好通过http来访问网站，网站服务器知道这应该是安全访问，然后进行http 301重定向（redirect），以此来告诉Client再次请求并且这次用https
    • 初始的请求可能成为（中间人的）攻击媒介

3、What HSTS Trying to Solve

• SSL Stripping Attack（SSL剥离攻击）- 中间人代理HTTP到HTTPS连接
  • DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL（一个演讲）

4、How it happens

• HSTS指示浏览器“site.com”被访问时必须总是以HTTPS的方式
  • 用户通过HTTPS浏览网站
  • 然后Web Server会提供该网站的内容，还有HSTS指令：
    • max-age - 自动通过 HTTPS 请求站点的持续时间（秒）​
    • includeSubDomains - （重定向）自动应用到所有子域名，例如www.site.com、mail.site.com等​
  • 示例，当我们在浏览器地址栏输入http://site.com，会自动重定向到https://site.com
    •  我们打开Chrome - 更多工具 - 开发者工具 - Network - 点击Name的第一个 - Headers，得到如上图所示内容。我输入的请求是http，我得到的响应是Internal Redirect，告诉我应该用https来访问该网站。由上图可看到，重定向的理由是HSTS。307 Internal Redirect表明我们的请求实际上并未成功，也表明中间人无法进行有效攻击，本例中Chrome自动将http重定向到https。
  •  
  • 不幸的是，我们首次访问网站时仍然容易受到剥离攻击（SSL Stripping），HSTS的制造者也考虑到这一点了 
  • HSTS Preload
    •  浏览器本地维护的 HSTS 网站静态列表
    • 网站操作员可以申请预载状态 - https://hstspreload.org/
    •   
  • 综上，网站提供了3种 HSTS 指令，分别是max-age、includeSubDomains和preload
• 好处：HSTS 还会禁用点击 SSL/TLS 警告的功能
  • 例如，用户通过HTTPS访问（在HSTS列表上的）网站，然后收到了证书错误，浏览器会禁用点击SSL警告的功能（也就没法继续访问了）
• 此外，3种指令通常出现在同一行，某种程度上他们以同种方式工作

5、根据该网站- Qualys SSL Labs - SSL Pulse 2024年5月3日调查的网站总数为134495个，我们可以看到目前有47863个网站支持HSTS，占比35.6%

参考文献

1、网站：Practical Networking.net：Practical TLS

原文地址：https://blog.csdn.net/Taki_UP/article/details/142250690

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！