HTTPS安全部署:HSTS头部署
HSTS作用
HTTP
严格传输安全(HTTP Strict transport security
,HSTS
),配置浏览器对整个域名空间使用HTTPS
来加密,它具备以下优点:
HSTS
可以禁止浏览器使用无效证书(浏览器的默认策略是让用户决定是否放行,而用户往往因为不能区分无效是因为配置问题还是攻击而选择继续访问从而导致遭受网络攻击)HSTS
对以下情况可以仍然保持HTTPS通信:- 用户保存了原始网站的书签
- 不安全的
Cookie
HTTPS
剥离攻击- 网站内容混布,但需配合
CSP
(内容安全策略)
HSTS部署
通过在加密的HTTP响应中包含Strict-Transport-Security
头来实现网站HSTS
,例如
最佳的部署方案是部署在离用户最近的位置,例如架构有前端反向代理和后端web
服务器,在前端代理处配置HSTS
是最好的,否则就需要在web
服务器层配置HSTS
。如果web服务器不明确支持HSTS
,可以通过增加响应头的机制,但需要阅读各种服务器的附属细则。如果其他方法都失败了,可以在应用程序层增加HSTS
。
Apache
启用HTTP严格传输安全
HSTS
策略只能在加密通道的HTTP
响应中进行设置,因此需要把http
重定向到https
,如果明文响应中允许设置HSTS
头,中间人攻击者就可以通过在普通站点中注入HSTS
信息来执行DoS
攻击
IIS
第三方模块 https://hstsiis.codeplex.com/
Nginx
|
|