این مقاله مراحل فعال کردن خطمشی HTTP Strict Transport Security (HSTS) را برای وبسایت شما نشان میدهد. شما همچنین خواهید آموخت که HSTS چیست و اهمیت فعال کردن خط مشی HSTS چیست. فعال کردن خط مشی HSTS یکی از اقدامات ایمنی است که Cloudways پس از استقرار گواهی SSL و اجبار تغییر جهت HTTPS توصیهمیکند. برای اجرای سیاست HSTS، باید یک قانون در فایل htaccess. برنامه وب خود اضافه کنید.
امنیت حمل و نقل سخت HTTP (HSTS) چیست؟
HTTP Strict Transport Security (HSTS) یک خطمشی امنیت وب و دستورالعمل وب سرور است که توسط Google در ژوئیه ۲۰۱۶ راهاندازی شد. این روشی است که توسط وبسایتها استفاده میشود که مقرراتی را برای عوامل کاربر و یک مرورگر وب در مورد نحوه مدیریت اتصال با استفاده از هدر پاسخ تنظیم میکند. در همان ابتدا ارسال شد و به مرورگر برگشت.
این پارامتر فیلد Strict Transport Security Policy را تنظیممیکند. این امر وب سایت را مجبورمیکند تا بر روی پروتکل HTTPS بارگیری کند و هر گونه تماس اسکریپتی برای بارگیری محتوای وب سایت شما از طریق پروتکل HTTP را نادیدهمیگیرد.
چرا HTTP Strict Transport Security (HSTS) را فعال کنید؟
فعال کردن HSTS حملات پروتکل SSL و ربودن کوکی ها را لغومیکند. همچنین به وبسایتها اجازه میدهد تا با حذف مرحلهای از مراحل بارگذاری، سریعتر بارگذاری شوند. همانطور که ممکن است بدانید که HTTPS یک پیشرفت بزرگ نسبت به HTTP است و در برابر هک شدن آسیب پذیر نیست. با این حال، یک هک بسیار متداول برای آن دسته از وبسایتهایی وجود دارد که تغییر مسیر HTTPS را مجبور میکنند تا بازدیدکنندگان را از نسخه HTTP به HTTPS وبسایت ارسال کنند، و SSL Stripping نام دارد و در دسته حملات Man-In-The-Middle (MITM) قرار میگیرد. .
بیایید ببینیم که چگونه این تغییر مسیر دائمی 301 و تغییر مسیر موقت 302 برای درک SSL Stripping کارمیکنند. در این مثال، ما از یک وب سایت ساختگی برای نشان دادن جریان استفادهمیکنیم.
یک بازدیدکننده otherwebsite.ga را در نوار آدرس مرورگر تایپمیکند.
مرورگر ابتدا سعیمیکند http://anotherwebsite.ga را به عنوان پیش فرض بارگیری کند.
otherwebsite.ga از 301 تغییر مسیر دائمی به https://anotherwebsite.ga استفادهمیکند.
مرورگر تغییر مسیر رامیبیند و سپس https://anotherwebsite.ga را بارگیریمیکند.
هکرهامیتوانند از زمان بین مرحله 3 و 4 با SSL Stripping استفاده کنند تا درخواست تغییر مسیر را مسدود کنند و مرورگر را از بارگیری وب سایت از طریق پروتکل HTTPS متوقف کنند. بنابراین، در صورت دسترسی هکرها به یک نسخه رمزگذاری نشده و ناامن وب سایت، احتمال دزدیده شدن هر داده بسیار زیاد است. این مزاحمان همچنین میتوانند شما را به نسخه شبیهسازی شده وبسایتی که میخواهید به آن دسترسی داشته باشید هدایت کنند و تمام دادههای شما را در حین ورود به آن سرقت کنند، حتی اگر امن به نظر برسد.
از این رو، فعال کردن HSTS مرورگر را ملزم میکند تا نسخه امن یک وبسایت را بارگیری کند و هرگونه تماس یا درخواست تغییر مسیر برای بارگیری وبسایت از طریق پروتکل HTTP را نادیده بگیرد. این آسیبپذیری تغییر مسیر را که با تغییر مسیر 301 و 302 وجود دارد، میبندد.
نحوه فعال کردن خط مشی امنیت حمل و نقل سخت HTTP (HSTS).
در اینجا چند مرحله وجود دارد کهمیتواند به شما کمک کند خط مشی HSTS را فعال کنید تا بتوانید از بازدیدکنندگان وب سایت خود محافظت کنید.
نکته
توصیه میشود قبل از ادامه، یک نسخه پشتیبان از برنامه وب خود تهیه کنید تا در صورت فعال کردن خط مشی HSTS، همیشه بتوانید به نقطه قبلی بازگردید.
مرحله شماره 1
قبل از فعال کردن خط مشی HSTS، باید مطمئن شوید که گواهی SSL در وب سایت شما مستقر است و تغییر مسیر HTTP به HTTPS اجرا شده است. انواع گواهینامه های SSL زیر رامیتوان با استفاده از پلتفرم Cloudways نصب کرد.
– گواهی رایگان اجازه دهید رمزگذاری SSL.
– گواهینامه SSL Wildcard را رایگان رمزگذاری کنیم.
– گواهی SSL سفارشی.
گام 2
اکنون، باید از راه دور از طریق SSH به سرور خود متصل شوید تا بتوانید به فایل htaccess. برنامه خود دسترسی داشته باشید.
شمامیتوانید از دو طریق از طریق SSH به سرور خود متصل شوید، بنابراین گزینه مورد نظر خود را از گزینه های زیر انتخاب کنید. همچنینمیتوانید روی متن هایپرلینک نقاط گلوله کلیک کنید تا در مورد روش اتصال از راه دور به سرور مطلع شوید.
با استفاده از SSH Client
با استفاده از ترمینال SSH یکپارچه Cloudways.
در این مثال، ما از Cloudways Integrated SSH Terminal استفاده کرده ایم. پس از اتصال موفقیت آمیز پنجره ای مشابه مانند شکل زیر مشاهده خواهید کرد:
مرحله شماره 3:
اکنون باید به دایرکتوری خاصی که webroot شما در آن قرار دارد بروید. به عبارت دیگر، جایی که فایل .htaccess شما قرار دارد. به طور پیشفرض، در پوشه public_html قرار دارد، بنابراین دستوری را وارد کنید که در زیر ذکر شده است تا به پوشه public_html بروید.
cd applications/<your_application_name>/public_html/
براکت های زاویه برای نشان دادن موقعیت ورودی شما گنجانده شده است، بنابراین مطمئن شوید که براکت های زاویه را بردارید. نام برنامه شما با نام پایگاه داده شما (نام DB) یکسان است.
مرحله شماره 4
در اینجا آخرین مرحله ویرایش فایل .htaccess و افزودن قانون HSTS فرامیرسد. با اجرای دستور زیر فایل برای ویرایش بازمیشود.
vim .htaccess
پس از باز شدن فایل، باید کلید i را فشار دهید تا وارد حالت ویرایش شوید. پس از فشار دادن کلید، – – INSERT – – را در پایین صفحه نمایش خود خواهید دید.
برای پیمایش مکان نما باید از کلیدهای جهت دار استفاده کنید.
سپس، این قانون HSTS را کپی کنید و قانون را قبل از نمونه ای که میگوید # BEGIN WordPress را قرار دهید.
برای چسباندن قانون پس از کپی، باید CTRL+SHIFT+V را فشار دهید.
Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” env=HTTPS
این قانون حداکثر دسترسی یک ساله را تعریفمیکند که شامل دامنه ریشه وب سایت شما و هر زیر دامنه است. هنگامی که مرورگر به وب سایت دسترسی پیدا کرد، دیگرنمیتواند به مدت یک سال به نسخه ناامن (HTTP) یک وب سایت دسترسی پیدا کند. لطفاً مطمئن شوید که همه زیردامنهها در گواهی SSL شما پوشش داده شدهاند و هدایت مجدد HTTPS فعال است. اگر این کار را انجام ندهید، پس از ذخیره تغییرات در فایل htaccess، زیر دامنه های شما قابل دسترسی نخواهند بود.
مهم
قبل از اضافه کردن حداکثر سن یک ساله، ابتدا کل وب سایت خود را با حداکثر سن پنج دقیقه آزمایش کنید: max-age=300;
در نهایت کلید ESC را فشار دهید تا از حالت ویرایش خارج شوید و سپس دستور زیر را تایپ و اجرا کنید تا تغییرات ذخیره شود.
:wq!
این دستور قابل کپی و پیست نیست، باید دستور را تایپ کرده و کلید Enter را بزنید.
مراحل پس از پیاده سازی HSTS
برای اجرای موفقیت آمیز تمامی تغییرات، به چند مرحله نیاز دارید تا مطمئن شوید که پس از ویرایش فایل htaccess.
مرحله شماره 1
کش و کوکی های مرورگر خود را پاک کنید، کش Varnish را پاک کنید و وب سرور آپاچی را از طریق پلتفرم Cloudways راه اندازی مجدد کنید.
گام 2
زمان آن رسیده است که بررسی کنید آیا وب سایت شما یک سیاست HSTS اجرا شده است یا خیر، و چند روش برای تأیید آن وجود دارد. توصیهمیکنیم از یک ابزار شخص ثالث به نام SecurityHeaders استفاده کنید. در این مثال، ما یک وبسایت ساختگی را اسکن میکنیم که محتوایی ندارد و هیچ هدر امنیتی دیگری به جز HSTS اجرا نشده است، و همانطور که میبینید ✓ Strict-Transport-Security را نشان میدهد که به این معنی است که وب سایت شما دارای یک خط مشی HSTS کار میکند.
لیست پیش بارگذاری HSTS
همچنین یک جنبه منفی در سیاست HTTP Strict Transport Security (HSTS) وجود دارد که مرورگر بازدیدکننده باید حداقل یک بار هدر HSTS را ببیند تا بتواند از آن برای بازدیدهای بعدی استفاده کند. این بدان معنی است که آنها باید حداقل یک بار فرآیند HTTP به HTTPS را طی کنند و در اولین بازدید از وب سایت دارای HSTS آسیب پذیر شوند.
برای رویارویی با این موضوع، گوگل فهرست پیشبارگذاری HSTS را معرفی کرد که تمام آن وبسایتها و دامنهها را تحت یک فهرست تأییدشده HSTS فهرست میکند که با معیارهای ساده مطابقت دارد و این فهرست در مرورگر تعبیه شده است. به طور مشابه، سایر مرورگرهای اینترنتی مانند اینترنت اکسپلورر، فایرفاکس، سافاری و اپرا فهرستهای پیشبارگذاری HSTS خود را دارند که بر اساس فهرست پیشبارگذاری HSTS کروم است.
در زیر معیارهایی برای فهرست کردن وب سایت شما برای این فهرست پیش بارگذاری HSTS آمده است.
برنامه شما باید دارای گواهینامه SSL/TLS معتبر باشد.
برنامه شما باید تغییر مسیر HTTPS را مجبور کند.
همه زیر دامنه ها را از طریق پروتکل HTTPS ارائه دهید. به ویژه، اگر یک رکورد DNS برای آن زیر دامنه وجود دارد، باید از HTTPS برای www.subdomain پشتیبانی کنید.
یک هدر HSTS در دامنه پایه برای درخواست های HTTPS ارائه دهید.
دستورالعمل توکن پیش بارگذاری باید تعریف شود.
حداکثر سن باید حداقل 31536000 ثانیه (یک سال) باشد.
دستورالعمل includeSubDomains باید تعریف شود.
اگر در حال ارائه یک تغییر مسیر اضافی از سایت HTTPS خود هستید، آن تغییر مسیر همچنان باید سربرگ HSTS داشته باشد تا صفحه ای که به آن هدایت میشود.
اگر وب سایت شما به این معیارهای تنظیم شده پایبند باشد،میتوانید وب سایت دارای HSTS خود را به لیست پیش بارگذاری HSTS ارسال کنید. وبسایتهایی که به این فهرست اضافه میشوند در نسخههای بعدی Chrome کدگذاری میشوند. این اطمینان را ایجاد میکند که بازدیدکنندگانی که از وبسایتها با استفاده از نسخههای بهروزشده Chrome بازدید میکنند، ایمن باقی میمانند.
تاثیر سئو بر روی وب سایت دارای HSTS فعال
هنگامی که وب سایت شما به لیست پیش بارگذاری HSTS اضافهمیشود، ممکن است هشدارهایی از ابزارهای SEO در مورد 307 تغییر مسیر مشاهده کنید. این زمانی اتفاق میافتد که شخصی سعی میکند از طریق پروتکل HTTP ناامن به وبسایت شما دسترسی پیدا کند و در نتیجه به جای تغییر مسیر 301، تغییر مسیر 307 اتفاق میافتد.
301 یک تغییر مسیر دائمی است، در حالی که 307 یک تغییر مسیر موقت است، اما اگر ابزارهای سئو شما فقط ریدایرکت 307 را نشانمیدهد، به این معنی نیست که تغییر مسیر 301 اتفاقنمیافتد. تغییر مسیر 307 در سطح مرورگر در حال انجام است. در حالی که تغییر مسیر 301 در سطح برنامه اتفاقمیافتد. شمامیتوانید با استفاده از ابزارهای بررسی کننده تغییر مسیر که به صورت آنلاین موجود است وب سایت خود را اسکن کنید تا بررسی کنید که آیا تغییر مسیر 301 اتفاقمیافتد یا خیر، توصیهمیکنیم از httpstatus استفاده کنید.
شما در مورد امنیت حمل و نقل سخت HTTP (HSTS) یاد گرفته اید. برخی از اقدامات ایمنی دیگری نیز وجود دارد که Cloudways توصیه میکند پس از نصب گواهی SSL علاوه بر اجرای خط مشی HSTS (HTTP Strict Transport Security) آنها را انجام دهید.
همین! امیدواریم این مقاله مفید بوده باشد.
