Användare och organisationer värdesätter säkerhet och integritet mer och mer varje dag. Tekniker som HTTPS, en kombination av HTTP- och SSL/TLS-protokoll, skapas för att ge konfidentialitet och integritet vid webbsurfning. Många organisationer har vidtagit åtgärder för att uppmuntra implementeringen av HTTPS. Sedan 2014 har Google förbättrat rankningen av webbplatser som använder HTTPS. Dessutom kan webbplatser som inte använder HTTPS i Chrome inte använda geografiska platser och applikationscachen. Dessutom kanske användare inte ens kan besöka webbplatser som inte har HTTPS aktiverat. Så småningom kommer det att resultera i en osäker symbol i adressfältet i Chrome-webbläsaren. Tidigare kostade det mycket att skaffa och underhålla digitala certifikat. Därför kanske små företag eller stora företag med många domännamn inte implementerar HTTPS på grund av kostnaden. Nyligen har Let's Encrypt, med sitt ACME-protokoll, gjort det enklare och billigare att skaffa... SSL / TLS certifikat, och de tillhandahåller domänvalideringscertifikat (DV) gratis genom en helt automatiserad process. Förutom Let's Encrypt tillhandahåller flera innehållsdistributionsnätverk och molntjänstleverantörer, inklusive Cloudflare och Amazon, gratis TLS-certifikat till sina kunder.
Det finns dock fortfarande många HTTP-anslutningar på internet. Att hantera blandningen av HTTP- och HTTPS-anslutningar sömlöst är svårt för webbläsare på grund av strippingattacken. HTTPS-strippingattacker har väckt omfattande oro sedan Marlinspike presenterade sslstrip på Blackhat-konferensen 2009. Angripare kan avlyssna kommunikationen mellan målwebbplatsen och klienten och ändra all HTTPS till HTTP i svarspaketen från webbplatsen. Även om denna attack bryter mot regeln som säger att TLS/SSL ska säkerställa end-to-end-säkerhet, kan varken klienten eller servern vara medvetna om attacken eftersom paketen som skickas från servern fortfarande är krypterade.
För att försvara sig mot strippattacken presenterades HTTP Strict Transport Security (HSTS)-protokollet år 2012. Det definierar en mekanism som gör det möjligt för webbplatser att deklarera sig vara tillgängliga endast via säkra anslutningar.
Strippattack
För några år sedan användes HTTPS endast på betalningssidor för finansiella tjänster, e-handelsbetalningar eller inloggningssidor. Fler och fler webbplatser började dock använda HTTPS. En av anledningarna är att många studier visar att webbplatsägare bör tillhandahålla HTTPS-tjänst på alla webbplatssidor, inklusive hela resursfiler, och att kryptering av delar av webbplatserna därmed har visat sig vara osäker. En annan anledning är framväxten av gratis certifikat och TLS-acceleratorn. Att underhålla en HTTPS-tjänst var mycket dyrt, vilket inkluderade kostnaden för att tillämpa certifikat, kostnaden för att uppdatera certifikat och prestandakostnader orsakade av extra... kryptering or dekrypteringLyckligtvis har dessa problem lösts under senare år. Många organisationer började erbjuda gratis TLS/SSL-certifikat, och webbplatser gynnades mycket av HTTPS.
En HTTPS-strippingattack utgör dock en risk för HTTPS. När användare skriver ett domännamn utan en protokolltyp (HTTP eller HTTPS) är standardförfrågningstypen HTTP snarare än HTTPS. Vanligtvis, om servern tillhandahåller HTTPS-tjänsten, kommer servern att ge en 302-omdirigering efter att ha mottagit en HTTP-förfrågan. Angriparen kan dock fånga upp trafiken genom ARP-förfalskning och ersätta all HTTPS med HTTP i svarspaketet. Således kommer webbläsaren fortfarande att begära en HTTP-webbplats oavsett 302-omdirigeringarna. Återigen kan angriparen ersätta all HTTP med HTTPS i förfrågningspaketet. Kommunikationen mellan angriparen och servern är krypterad, men kommunikationen mellan angriparen och webbläsaren sker i klartext. Denna attack kallas en HTTPS-strippingattack, som webbläsare eller servrar inte kan upptäcka, eftersom den följer HTTP-kommunikationsprotokollet.
HSTS-protokollet
För att undvika HTTPS-strippningsattacken skapades HSTS-policyn år 2012. Webbplatser deklarerar policyn via HTTP-svarsfältet Strict-Transport-Security eller på andra sätt, till exempel genom konfiguration av användaragenter. Om servern vill tillhandahålla HTTPS-tjänster hela tiden skickar den en HSTS-header till webbläsaren. Enligt informationen i headern kommer webbläsaren ihåg de domäner som vill tvingas besökas av HTTPS. Och när användare skickar en HTTP-förfrågan nästa gång konverterar webbläsaren automatiskt HTTP till HTTPS i bakgrunden. HSTS-policyn definierar standarden för HSTS-headers, och headern består huvudsakligen av tre fält. Det första är max-age-fältet, vilket anger utgångstiden och är obligatoriskt. Det andra är det valfria fältet includeSubdomains, vilket anger om HSTS-policyn gäller för domänens underdomäner. Det sista är preload-fältet, och det är också valfritt. Detta fält anger om domänen har lagts till permanent i preload-listan som underhålls av webbläsarleverantörer. Det är viktigt att HTTPS-förfrågningar endast kan skicka dessa headers; därför kan angriparen inte godtyckligt manipulera HSTS-policyn för att inaktivera den.
Slutsats
HSTS-protokollet är ett sätt att undvika SSL-strippingattacker, men många webbplatsägare eller utvecklare förstår inte HSTS-policyn väl. En SSL-strippingattack ger angripare ett sätt att läsa en användare som besöker en webbplats i klartext. Data mellan webbläsaren och angriparen är inte krypterad, vilket ger klartextåtkomst till all data, inklusive lösenord, kreditkortsinformation med mera. Genom att använda HSTS-protokollet undviks dessa problem och en webbläsare tvingas använda kryptering mellan servern och webbläsaren.
