HTTP Header Strict-Transport-Security

    ssl,header

    HTTP Header voor Strict-Transport-Security

    De HTTP Strict-Transport-Security antwoordheader (vaak afgekort als HSTS) laat een website aan browsers vertellen dat deze alleen moet worden benaderd via HTTPS, in plaats van HTTP.

    Richtlijnen Strict-Transport-Security

    max-age=<verlopen-time></>

    De tijd, in seconden, dat de browser moet onthouden dat een site alleen via HTTPS kan worden geopend.

    includeSubDomains Optioneel

    Als deze optionele parameter is opgegeven, is deze regel ook van toepassing op alle subdomeinen van de site.

    preload Optioneel

    Zie Preloading Strict-Transport-Security voor meer informatie. Geen onderdeel van de specificatie.


    Omschrijving Strict-Transport-Security

    Als een website een verbinding accepteert via HTTP en omleidingen naar HTTPS, kunnen bezoekers in eerste instantie communiceren met de niet gecodeerde versie van de site voordat ze worden omgeleid, bijvoorbeeld als de bezoeker http://www.foo.com/ of zelfs typt gewoon foo.com. Dit schept een kans voor een man-in-the-middle-aanval. De omleiding kan worden misbruikt om bezoekers naar een kwaadwillende site te leiden in plaats van naar de beveiligde versie van de oorspronkelijke site.

    De HTTP Strict-Transport-Security-header informeert de browser dat deze een site nooit met HTTP mag laden en moet in plaats daarvan alle pogingen om toegang te krijgen tot de site automatisch omzetten met behulp van HTTP-naar-HTTPS-verzoeken.

    Opmerking: de header Strict-Transport-Security wordt genegeerd door de browser wanneer uw site wordt geopend met HTTP; Dit komt omdat een aanvaller HTTP-verbindingen kan onderscheppen en de kop kan injecteren of verwijderen. Wanneer uw site via HTTPS wordt geopend zonder certificaatfouten, weet de browser dat uw site geschikt is voor HTTPS en voldoet het aan de Strict-Transport-Security-header.

    Een voorbeeldscenario

    U logt in op een gratis WiFi-toegangspunt op een luchthaven en begint met surfen op internet, bezoekt uw online bankservice om uw saldo te controleren en een paar rekeningen te betalen. Helaas is het toegangspunt dat u gebruikt eigenlijk een hackers-laptop en onderschept het uw oorspronkelijke HTTP-verzoek en wordt u doorverwezen naar een kloon van de site van uw bank in plaats van het echte werk. Nu worden uw privégegevens blootgesteld aan de hacker.

    Strict-Transport-Security lost dit probleem op; zolang u de website van uw bank eenmaal gebruikt heeft via HTTPS, en de website van de bank Strict-Transport-Security gebruikt, weet uw browser automatisch alleen HTTPS te gebruiken, wat hackers verhindert om dit soort man-in-the-middle uit te voeren aanval.


    Hoe de browser het afhandelt

    De eerste keer dat uw site via HTTPS wordt geopend en de Strict-Transport-Security-header wordt geretourneerd, registreert de browser deze informatie, zodat toekomstige pogingen om de site met HTTP te laden automatisch HTTPS zullen gebruiken.

    Wanneer de door de Strict-Transport-Security-header gespecificeerde vervaltijd verstrijkt, zal de volgende poging om de site via HTTP te laden normaal doorgaan in plaats van automatisch HTTPS te gebruiken.

    Wanneer de header Strict-Transport-Security wordt afgeleverd bij de browser, wordt de vervaltijd voor die site bijgewerkt, zodat sites deze informatie kunnen vernieuwen en voorkomen dat de time-out vervalt. Als het nodig is om Strict-Transport-Security uit te schakelen, stelt u de max-age in op 0 (via een https-verbinding) en vervalt onmiddellijk de Strict-Transport-Security-header, die toegang via http mogelijk maakt.


    Preloading Strict-Transport-Security

    Google onderhoudt een HSL-preload-service. Door de richtlijnen te volgen en uw domein succesvol in te dienen, maken browsers nooit verbinding met uw domein via een onveilige verbinding. Hoewel de service wordt gehost door Google, hebben alle browsers aangegeven dat ze de preloadlijst willen gebruiken (of daadwerkelijk gebruiken). Het maakt echter geen deel uit van de HSTS-specificatie en mag niet als officieel worden behandeld.

    Informatie over de preloadlijst van HSTS in Chrome: https://www.chromium.org/hsts


    Daadwerkelijke Header code Strict-Transport-Security

    Alle huidige en toekomstige subdomeinen zijn HTTPS voor een maximale leeftijd van 1 jaar. Hiermee blokkeert u de toegang tot pagina's of subdomeinen die alleen via HTTP kunnen worden weergegeven.

    Hieronder kunt u het geheel kopieeren en plakken in un .htaccess bestand

    LET OP: Al hebt u al het volgende in uw .htaccess bestan staan, dan kunt u gewoon de onderste regel pakken

    <IfModule mod_headers.c>
    Header always set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload" env=HTTPS
    </IfModule>

     

    Header always set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload" env=HTTPS

     

    © Nieuwsberichten.eu. Alle rechten voorbehouden.
    Free Joomla! templates by Engine Templates