Strict Transport Security

Мова: Українська
Цю статтю перекладено з англійської за допомогою ШІ, тому вона може містити помилки. Ваші відгуки допоможуть нам її покращити.

Після налаштування безпечного з'єднання для вашого ActivityInfo, вам варто розглянути можливість увімкнення HTTP Strict Transport Security (HSTS).

Проблема

HSTS допомагає усунути вузьке вікно вразливості для ваших користувачів. Коли користувач вперше вводить ім'я вашого сервера в адресний рядок браузера, наприклад "activityinfo.example.gov", браузер зазвичай спочатку надсилає незахищений, незашифрований запит на "http://activityinfo.example.gov". Потім ваш сервер ActivityInfo перенаправить користувача на захищену кінцеву точку за адресою "https://activityinfo.example".

Однак, якщо ваш користувач робить цей перший крок через мережу, контрольовану зловмисником, той, хто контролює мережу, має вузьке вікно для здійснення атаки «людина посередині» (man-in-the-middle), перш ніж користувача буде перенаправлено на захищену кінцеву точку. Вони можуть перехопити незашифрований запит на "http://activityinfo.example.gov" і перенаправити вашого користувача на підроблений сайт, призначений для крадіжки його облікових даних.

Рішення

Заголовок відповіді HTTP Strict-Transport-Security (часто скорочено HSTS) повідомляє браузерам, що доступ до сайту має здійснюватися лише за протоколом HTTPS, і що будь-які майбутні спроби доступу до нього без шифрування мають бути автоматично перетворені на HTTPS. Це ще більше звужує вікно, в якому зловмисник може здійснити атаку «людина посередині».

Тестування HSTS

Ви можете увімкнути HSTS після того, як налаштуєте дійсний сертифікат SSL в панелі адміністратора:

Знімок екрана розділу «Сертифікат SSL»
Знімок екрана розділу «Сертифікат SSL»

Натисніть «Почати ввімкнення Strict Transport Security», щоб почати роботу з коротким часом життя (Time-to-Live, TTL). Це дозволить вам протестувати конфігурацію та переконатися, що всі ваші користувачі все ще можуть отримати доступ до сервера.

Повне увімкнення HSTS

Після того, як ви переконалися, що все працює добре з HSTS, ви можете повністю увімкнути HSTS, натиснувши «Зробити Strict Transport Security постійним»:

Знімок екрана розділу «Сертифікат SSL»
Знімок екрана розділу «Сертифікат SSL»

Будьте обережні! Як тільки ви почнете надсилати цей заголовок, ваші користувачі зможуть отримати доступ до вашого сервера ActivityInfo лише через захищене з'єднання. Браузери ваших користувачів відмовлять у доступі, наприклад, якщо термін дії вашого сертифіката закінчиться до його поновлення. Відкат HSTS, за задумом, є дуже болісним.

Додавання вашого домену до списку попереднього завантаження

Після того, як ви назавжди увімкнули HSTS, ви можете надіслати ім'я свого домену до списку попереднього завантаження HSTS. Це список доменів, що використовуються Chrome, Firefox та Safari, який вбудований у браузер, тому ваші користувачі завжди будуть примусово перенаправлені на захищену URL-адресу, навіть під час першого відвідування.

Наступний елемент
Конфігурація Traefik