HSTS

HTTP Strict Transport Security (HSTS) este o politică de securitate implementată la nivel de server web care obligă browserele să comunice exclusiv prin HTTPS. Această măsură elimină vulnerabilitățile asociate cu conexiunile HTTP nesecurizate și previne atacurile care ar putea forța degradarea conexiunii de la HTTPS la HTTP.

Mecanismul funcționează prin intermediul unui antet HTTP special: Strict-Transport-Security. Când serverul trimite acest antet, browserul memorează că domeniul respectiv trebuie accesat doar prin HTTPS pentru o perioadă specificată (max-age). Chiar dacă utilizatorul introduce manual adresa HTTP sau accesează un link nesecurizat, browserul va converti automat cererea în HTTPS înainte de a o trimite.

Parametrii importanți ai HSTS includ max-age (durata în secunde pentru care politica rămâne activă), includeSubDomains (extinde politica la toate subdomeniile) și preload (permite includerea domeniului în lista HSTS preîncărcată a browserelor). Lista de preload este menținută de Google și este integrată în Chrome, Firefox, Safari și alte browsere majore.

Implementarea HSTS este deosebit de importantă pentru prevenirea atacurilor de tip SSL stripping. În acest tip de atac, un atacator poziționat între utilizator și server interceptează cererea HTTP inițială și menține o conexiune nesecurizată cu utilizatorul, în timp ce stabilește o conexiune HTTPS cu serverul. Fără HSTS, utilizatorul nu ar observa că nu folosește o conexiune securizată.

Pentru configurarea HSTS pe serverele de hosting din România, administratorii trebuie să adauge antetul corespunzător în configurația Nginx sau Apache. Se recomandă începerea cu o valoare max-age mică, precum 300 de secunde, pentru testare, urmată de creșterea graduală până la valoarea recomandată de 31536000 de secunde (un an). Includerea în lista de preload necesită o cerere separată și impune ca toate subdomeniile să fie accesibile prin HTTPS.