Для обеспечения высокого уровня безопасности соединения пользователя с сервером сайта, рекомендуется использовать такую технологию как HSTS. Для чего нужна и как ее активировать на своем сайте, поговорим ниже.
Несколько лет назад вебмастера повально стали устанавливать на свои ресурсы SSL-сертификаты, призванные повысить уровень сохранности пользовательских данных. Однако, если разбираться в технологии, то для максимальной безопасности ее может быть недостаточно. Все дело в том, что пользователь, вводя в строке браузера адрес домена, предварительно попадает на незащищенную версию сайта, а уже после перенаправляется на версию с протоколом HTTPS. Этот принцип работы сервера позволяет злоумышленникам получать доступ к данным пользователей различными способами. Решить эту проблему позволяет технология HSTS.
Суть ее работы заключается в том, что браузеру передается защищенный заголовок HTTP Strict Transport Security, и происходить это может даже в первое посещение пользователем ресурса (если домен добавлен в Preload List). Благодаря этому заголовку, браузеру указывается необходимость включения защищенного соединения HTTPS, т.е. доступна становится исключительно данная версия соединения, а незащищенный HTTP перестает обслуживаться. Другими словами, перехватить запрос браузера в момент редиректа с HTTP на HTTPS уже не получится.
Интересный момент, если активирован механизм HSTS, то в случае присутствия на сайте страниц, работающих по незащищенному протоколу, доступ к ним автоматически будет закрыт. Та же ситуация возникнет, если закончился срок действия SSL-сертификата.
При первом посещении сайта, пользователь получает незащищенное соединение даже при использовании HSTS. Чтобы добиться максимального эффекта от внедрения этого механизма, необходимо добавить домен в специальный Preload List – список сайтов, созданный Google. Данный листинг поддерживается большинством браузеров, а для проверки наличия сайта в этом списке можно воспользоваться одним из специализированных сервисов (например, ssllabs.com). В Preload List перечислены домены, использующие механизм HSTS-заголовка с выставленным максимальным сроком действия и флагом preload.
Но перед добавлением домена в листинг, надо понимать, что после, сайт перестанет быть доступным по протоколу HTTP в принципе – будет возможно лишь соединение по HTTPS. Поэтому, нужно быть уверенным, что планируется постоянное использование SSL-сертификата, при этом не забывая его вовремя продлять.
Первым шагом на пути активации технологии HTST, будет корректная установка SSL-сертификата. Данную услугу предоставляют большинство ведущих хостинг-провайдеров. Акцентировать внимание на принципах выбора сертификата не будем, скажем лишь о том, что, как правило, они приобретаются на один год, далее продляются (или перевыпускаются).
После установке важно проверить работу настроек – должно происходить автоматическое перенаправления с протокола HTTP на HTTPS, если все в порядке, идем дальше.
Здесь есть два варианта: активация механизма посредством возможностей личного кабинета хостинг-провайдера. В этом случае, все довольно-таки просто. И второй – ручная настройка сервера, поговорим об этом ниже.
Предварительно требуется выбрать вариант заголовка:
Директивы заголовка:
Пример заголовка:
Данный заголовок передает браузеру следующую информацию: срок действия заголовка составляет 1 год (31536000 – секунды), домен добавлен в базу листинга. Если в течении этого срока на сайте перестает действовать SSL-сертификат, то браузер будет автоматически разрывать соединение.
<VirtualHost 67.89.123.45:443> Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;" </VirtualHost>
В этом случае, срок действия выставлен 1 год, сам заголовок будет обновляться при каждом посещении ресурса. При этом, для перенаправления на страницы, работающие по протоколу HTTPS, следует добавить параметр (domain.com – ваш домен):
<VirtualHost *:80> [...] ServerName domain.com Redirect permanent / https://domain.com/ </VirtualHost>
Аналогичным образом, внеся дополнительные параметры в конфигурационный файл, который, как правило, располагается по пути «/etc/nginx/conf.d». Параметры представляют собой прописанный заголовок из вариантов, перечисленных выше.
Ngnx позволяет использовать на одном сервере исключительно вариант с защищенным или незащищенным соединением. Одновременная поддержка работы этих протоколов не поддерживается.
Необязательное действие, но если планируется постоянно использовать SSL-сертификат на сайте, то для обеспечения максимально безопасного соединения рекомендуется добавить домен в листинг. Выше уже упоминалось о том, что после добавления туда сайта, все современные браузеры перестанут открывать незащищенные страницы. Если потребуется отключить HSTS, то для того, чтобы удалить домен из листинга потребуется как минимум нескольких месяцев ожидания. Поэтому перед добавлением, стоит учесть все нюансы.
Итак, алгоритм действий:
После настройки HSTS, его работу необходимо обязательно проверить на ошибки. Сделать это можно следующими способами:
$ curl -s -D- https://domain.com | grep Strict Strict-Transport-Security: max-age=31536000; includeSubdomains;
С помощью сервисов:
Предварительная загрузка заголовка, безусловно, значительно повышает безопасность сайта (а точнее пользовательских данных), но требуется ли это для среднестатистических ресурсов? Скорее всего нет. Однако, данное решение будет оправданным, если на сайте производятся какие-либо транзакции, передается личная информация пользователей и прочее.
Если было решено включить HSTS на сайт, то рекомендуется вначале устанавливать минимально возможный срок действия заголовка (max-age), это позволит оперативно исправлять ошибки (речь про недоступность страниц по HTTPS) с минимальными последствиями.
Если говорить со стороны SEO-продвижения, то наличие HSTS на сайте может положительно повлиять на ранжирование сайта. Достигается это косвенным путем благодаря тому, что сокращается скорость загрузки страниц – серверу не требуется совершать перенаправления с HTTP на HTTPS, сразу загружается второй вариант протокола.
В ТОП-10
«SEO глазами клиентов»
19 место
В топ-100 perfomance-агентств России
9 место
В топ-100 SEO-
компаний России
1 место
Рейтинг агентств контекстной рекламы Новосибирска
Золотая сотня
Российского Digital
Комментарии