Cos'è l'HSTS?

HTTP Strict Transport Security (HSTS) è un meccanismo di politica di sicurezza che aiuta a proteggere i siti Web da attacchi man-in-the-middle come attacchi di downgrade del protocollo e dirottamento dei cookie. Applicando connessioni sicure, HSTS indica ai browser di interagire solo con un sito Web utilizzando una connessione HTTPS sicura, anziché HTTP.

Cos'è l'HSTS?

HTTP Strict Transport Security (HSTS) è una policy di sicurezza web che consente ai siti web di dichiararsi accessibili solo tramite connessioni HTTPS sicure. Quando un sito web implementa HSTS, informa browser che dovrebbero utilizzare esclusivamente HTTPS per comunicare con il sito, eliminando la possibilità di utilizzare il protocollo HTTP meno sicuro. Ciò è ottenuto da server inviando un'intestazione HSTS nelle sue risposte HTTP, specificando un periodo durante il quale il browser dovrebbe applicare questa politica.

HSTS aiuta a prevenire vari attacchi, inclusi attacchi di downgrade del protocollo, in cui un utente malintenzionato forza un browser a utilizzare HTTP anziché HTTPS, e il dirottamento dei cookie, in cui i cookie vengono intercettati su connessioni non protette.

Imponendo HTTPS, HSTS garantisce che tutte le comunicazioni tra il browser dell'utente e il sito Web siano crittografato e sicuro, migliorando la posizione di sicurezza complessiva del web application.

Una breve storia dell'HSTS

Il concetto di HTTP Strict Transport Security (HSTS) è emerso dalla crescente necessità di migliorare la sicurezza web. È stato proposto per la prima volta nel 2009 da Jeff Hodges, Collin Jackson e Adam Barth. Il loro lavoro si è concentrato sulla mitigazione dei rischi associati agli attacchi man-in-the-middle e agli attacchi di downgrade del protocollo che sfruttavano le vulnerabilità di HTTP. La bozza iniziale è stata presentata all'Internet Engineering Task Force (IETF) nel 2010 e, dopo diverse revisioni e feedback della comunità, è diventata uno standard nel 2012 con la pubblicazione di RFC 6797. Da allora, HSTS è stato ampiamente adottato dai principali browser web e siti web, diventando uno strumento cruciale nel tentativo di proteggere le comunicazioni web.

Perché l'HSTS è importante?

HSTS è importante perché migliora significativamente la sicurezza delle comunicazioni web. Imponendo l'uso di HTTPS, HSTS garantisce che tutti i dati scambiati tra il browser di un utente e un sito Web siano crittografati, proteggendoli da intercettazioni e manomissioni. Ciò è fondamentale per salvaguardare le informazioni sensibili, come credenziali di accesso, dettagli personali e transazioni finanziarie, da soggetti malintenzionati.

HSTS previene inoltre gli attacchi di downgrade del protocollo, in cui gli aggressori ingannano il browser inducendolo a utilizzare l'HTTP meno sicuro, e il dirottamento dei cookie, in cui i cookie di sessione vengono intercettati su una connessione non protetta.

Come funziona HSTS?

HTTP Strict Transport Security (HSTS) è un meccanismo che garantisce che un browser Web utilizzi sempre una connessione HTTPS sicura quando comunica con un sito Web. Funziona consentendo ai siti Web di dichiararsi accessibili solo tramite HTTPS, prevenendo così vari attacchi associati al protocollo HTTP meno sicuro.

Quando un utente visita per la prima volta un sito Web che supporta HSTS, il file server risponde con una speciale intestazione HTTP chiamata Strict-Transport-Security. Questa intestazione specifica a età massima valore, che indica il periodo (in secondi) per il quale il browser deve imporre connessioni solo HTTPS per il sito. L'intestazione potrebbe anche includere un file includeSottodomini direttiva, indicando che tutto sottodomini si dovrebbe accedere anche tramite HTTPS.

Una volta che il browser riceve questa intestazione, registra e inizia ad applicare la politica HSTS. Se l'utente tenta di visitare il sito o i suoi sottodomini utilizzando HTTP durante il periodo specificato età massima periodo, il browser converte automaticamente la richiesta in HTTPS, garantendo una connessione sicura. Anche se l'utente digita manualmente "http://" nella barra degli indirizzi del browser, il browser lo cambierà in "https://" prima di effettuare la richiesta.

Se la policy HSTS prevede dei sottodomini, questa protezione si estende anche ad essi, mettendo ulteriormente in sicurezza l'intero sito dominio struttura. Questo meccanismo elimina di fatto le opportunità per gli aggressori di intercettare o manomettere la connessione sfruttando le vulnerabilità HTTP.

Requisiti HSTS

HTTP Strict Transport Security ha diversi requisiti che devono essere soddisfatti affinché funzioni correttamente e protegga in modo efficace le comunicazioni web. Ecco i requisiti chiave:

• Implementazione HTTPS. Il sito Web deve supportare HTTPS e avere un file valido SSL / TLS certificato. HSTS non può essere implementato su un sito che supporta solo HTTP, poiché lo scopo principale di HSTS è quello di garantire connessioni HTTPS sicure.
• Intestazione HSTS. server deve inviare l'intestazione HSTS (Strict-Transport-Security) nelle sue risposte HTTPS. Questa intestazione include il età massima direttiva, che specifica per quanto tempo il browser deve ricordarsi di applicare HTTPS per il sito. Un esempio di intestazione HSTS è:

Strict-Transport-Security: max-age=31536000; includeSubDomains

• Direttiva sull'età massima. età massima La direttiva è obbligatoria e definisce la durata in secondi per la quale il browser deve applicare HTTPS per il sito. Ad esempio, età massima=31536000 stabilisce la politica per un anno.
• Direttiva IncludeSubDomains. Questa direttiva facoltativa estende la politica HSTS a tutti i sottodomini del sito. Se inclusi, anche tutti i sottodomini devono supportare HTTPS.
• Precaricamento (facoltativo ma consigliato). Il precaricamento implica l'invio del sito all'elenco di precaricamento HSTS, un elenco gestito dai fornitori di browser. Una volta precaricato un sito, i browser applicheranno HTTPS per esso e i suoi sottodomini dalla prima visita, anche prima di ricevere l'intestazione HSTS. Per qualificarsi per il precaricamento, il sito deve fornire un'intestazione HSTS con età massima di almeno un anno (31536000), includere il includeSottodomini direttiva e includere la precarico direttiva nell'intestazione.
• Nessun contenuto misto. Il sito deve evitare contenuti misti, che si verificano quando le pagine HTTPS caricano risorse (come immagini, script o fogli di stile) su HTTP. Il contenuto misto compromette la sicurezza di HTTPS e può far sì che i browser blocchino tali risorse o mostrino avvisi di sicurezza.
• Reindirizzamenti. Qualsiasi richiesta HTTP al sito deve essere reindirizzata a HTTPS prima dell'applicazione di HSTS. Ciò garantisce che gli utenti che visitano inizialmente il sito tramite HTTP vengano indirizzati alla versione sicura.

Limitazioni dell'HSTS

HTTP Strict Transport Security (HSTS) è un potente meccanismo di sicurezza che presenta alcune limitazioni, tra cui:

• Connessione iniziale non sicura. La primissima connessione a un sito web non è protetta da HSTS, rendendolo vulnerabile agli attacchi man-in-the-middle. Fino a quando il browser non riceve l'intestazione HSTS, la connessione potrebbe avvenire tramite HTTP.
• Rischi di errata configurazione. Configurazione errata di HSTS, ad esempio impostazione di un valore molto lungo età massima per un sito che non è pronto per l'applicazione completa di HTTPS, può causare problemi. Altri esempi di configurazione errata includono la mancata implementazione completa di HTTPS o problemi di contenuto misto. Se ciò si verifica, gli utenti riscontrano funzionalità interrotte o problemi di accessibilità.
• Copertura del sottodominio. Se il includeSottodomini non viene utilizzata la direttiva, i sottodomini non sono protetti dalla politica HSTS. Ciò può renderli vulnerabili agli attacchi, minando i vantaggi in termini di sicurezza dell’HSTS.
• Accessibilità del sito. Se il certificato SSL/TLS di un sito scade o è configurato in modo errato, gli utenti non potranno accedere al sito finché il problema non verrà risolto, poiché HSTS impone solo le connessioni HTTPS.
• Problemi di cache. Una volta che un browser riceve un'intestazione HSTS, applicherà HTTPS per il sito fino al età massima scade il periodo. Se un sito non desidera più utilizzare HTTPS o modifica la propria configurazione, gli utenti potrebbero comunque essere costretti a utilizzare HTTPS a causa delle policy HSTS memorizzate nella cache.
• Browser non supportati. Non tutti i browser supportano HSTS. Gli utenti con browser più vecchi o meno comuni che non riconoscono l'intestazione HSTS non trarranno vantaggio dalle sue protezioni di sicurezza.
• Inconvenienti del precarico. Anche se il precarico migliora la sicurezza, è un impegno. Una volta incluso nell'elenco di precaricamento HSTS, un sito non può essere rimosso facilmente e qualsiasi problema con HTTPS sul sito comporta notevoli problemi di accesso per gli utenti.
• Impatto sulle prestazioni. Forzare HTTPS introduce un leggero sovraccarico delle prestazioni a causa della crittografia e decrittazione processi. Sebbene generalmente minimo, può essere evidente per i siti Web ad alto traffico o per gli utenti con connessioni più lente.

Compatibilità del browser HSTS

La tabella seguente confronta la compatibilità HSTS con i browser più comunemente utilizzati oggi.

Migliori pratiche di distribuzione HSTS

Per implementare in modo efficace HTTP Strict Transport Security (HSTS) è necessario seguire le migliori pratiche per garantire una sicurezza solida e ridurre al minimo i potenziali problemi. Ecco alcune best practice per la distribuzione di HSTS:

• Garantisci il supporto completo HTTPS. Prima di abilitare HSTS, assicurati che l'intero sito supporti HTTPS, inclusi tutti i sottodomini e le risorse. Il contenuto misto può causare problemi quando viene applicato l'HSTS.
• Configura SSL/TLS correttamente. Utilizza configurazioni SSL/TLS avanzate per evitare vulnerabilità. Assicurati che i tuoi certificati SSL/TLS siano validi, aggiornati e installati correttamente.
• Imposta l'età massima appropriata. Inizia con un breve età massima valore (ad esempio, un giorno) per testare l'implementazione e garantire che tutto funzioni correttamente. Aumentare gradualmente la età massima per una durata più lunga (ad esempio, un anno) una volta che si è sicuri della configurazione.
• Includi sottodomini. Usa il includeSottodomini direttiva per garantire che tutti i sottodomini siano coperti dalla politica HSTS, fornendo una protezione completa per l'intero dominio.
• Utilizza il precarico. Invia il tuo sito all'elenco di precaricamento HSTS per assicurarti che i browser applichino HSTS fin dalla prima visita. Ciò richiede l'impostazione di a età massima di almeno un anno, compreso il includeSottodomini direttiva e aggiungendo il file precarico direttiva all'intestazione HSTS.
• Reindirizza da HTTP a HTTPS. Impostare server-side reindirizza da HTTP a HTTPS. Ciò garantisce che gli utenti che inizialmente accedono al tuo sito tramite HTTP vengano reindirizzati alla versione sicura.
• Monitorare e testare. Monitora regolarmente il tuo sito per problemi SSL/TLS, contenuti misti e altri potenziali problemi. Utilizza strumenti come SSL Test di SSL Labs per verificare la tua configurazione e assicurarti che soddisfi le migliori pratiche.
• Aggiorna le politiche di sicurezza. Mantieni le tue policy e configurazioni di sicurezza, incluso HSTS, regolarmente aggiornate con le raccomandazioni e le pratiche più recenti.
• Informare gli utenti e le parti interessate. Comunica le modifiche ai tuoi utenti e alle parti interessate, spiegando i vantaggi e i potenziali impatti dell'implementazione HSTS. Ciò aiuta a gestire le aspettative e garantisce che eventuali problemi vengano tempestivamente segnalati e risolti.
• Prepararsi per le emergenze. Disporre di un piano per la gestione delle emergenze, come la scadenza del certificato o gli errori di configurazione. Se necessario, dovresti essere in grado di rimuovere il tuo sito dall'elenco di precaricamento HSTS, sebbene questo processo possa richiedere tempo a causa dei cicli di aggiornamento del browser.