پروتکل HSTS چیست ؟ نصب پروتکل HSTS چگونه انجام می‌شود؟

پروتکل HSTS چیست ؟ نصب HSTS چگونه انجام می‌شود؟ دلیل اهمیت پروتکل HSTS چیست ؟ در این مقاله قصد داریم به این سوالات پاسخ دهیم.

تصور کنید که شما در رستوران مورد علاقه خود و یا از جلسه کاری‌ای برگشتید و در اتاق هتل خود بوده و می‌خواهید از wifi در آن محل استفاده کنید. تا بحال به این موضوع توجه کرده‌اید که پسورد این wifi ها روی کاغذ نوشته شده و هیچوقت تغییر نمی‌کند؟

سرور مجازی آراز

حالا اگر یک هکر هم در این محل حضور داشته باشد به راحتی می‌تواند به تمام اطلاعات که از طریق این اینترنت ناامن در حال عبور و مرور هستند دسترسی داشته باشد.

یکی از ابزارهایی که هکر ها از آن استفاده می‌کنند، packet sniffer نام دارد. این ابزار، اطلاعات در حال گردش را آنالیز کرده و می‌تواند اطلاعات دیگری را نیز در میان این اطلاعات وارد کرده و آن‌ها را تغییر دهد.

این هکر ، می‌تواند تمام اطلاعاتی که توسط شما با وب سایت هایی که از ریدایرکت 301 برای انتقال http به https استفاده می‌کنند،‌ به اشتراک گذاشته می‌شوند، را دریافت و استفاده کند. این روش، فرصت‌های زیادی برای هکر ایجاد می‌کند تا اتصال ssl شما را از بین برده و اطلاعات را به سرقت ببرد و یا حتی صفحه‌های غیر واقعی‌ای به شما نمایش دهد.

به این علت است که وب سایت شما باید از پروتکل HTTP Strict Transport Security یا HSTS به جای HTTPS استفاده کند. تنها استفاده از HTTPS جهت افزایش امنیت کافی نیست.

پروتکل HSTS چیست ؟ پروتکل HSTS مخفف چیست ؟ 

HSTS مخفف عبارت HTTP Strict Transport Security یک قانون در وب سرورها است که به کاربران و مرورگر ها اطلاع می‌دهد که ارتباط را چگونه با استفاده از یک هدر که در شروع ارتباط ارسال و به مرور گر باز می‌گردد را مدیریت کنند. این کار از Strict-Transport-Security policy استفاده می‌کند. ارتباط‌ها را مجبور به استفاده از HTTPS می‌کند و هرگونه استفاده از لینک‌هایی که با  HTTP قابل دسترسی هستند را جلوگیری می‌کند. HSTS یکی از موارد امنیتی مورد استفاده در مرورگر ها و یا سرویس‌های هاستینگ است.

دلیل اهمیت پروتکل HSTS چیست ؟

شما هیچ‌وقت درهای خانه خود را بدون قفل کردن نمی‌بندید، درسته؟ حتی اگر از دزدگیر استفاده کنید. دیتا هم می‌تواند مثل یک وسیله فیزیکی در خانه شما مهم باشد، پس نگهداری و مراقبت از آنها نیز بسیار مهم است. تنها قفل کردن وب سایت شما شاید همیشه کافی نباشد، چون در این حال هم مردم ممکن است راهی برای نفوذ به وب سایت شما از طریق http پیدا کنند. hsts مرورگر ها را مجبور می‌کند تا از https استفاده کنند حتی اگر کسی وب سایت شما را با استفاده از http جستجو کند.

استفاده از https تاثیر کمی در رنک وب سایت شما در گوگل داشته و همراه با معیارهایی مثل page speed و mobile responsiveness در site quality قرار می‌گیرد. استفاده از ریدایرکت 301 برای http به https برای افزایش امنیت دومین شما کافی نیست. همچنان مشکلات امنیتی ای از طریق پروتکل http وجود دارد.

هکر ها هنوز می‌توانند کوکی‌های وب سایت ، شناسه جلسه (که معمولاً به عنوان پارامتر URL ارسال می‌شود) را ضبط کنند یا یک تغییر مسیر را به وب سایت فیشینگ خود ریدایرکت کنند که دقیقاً شبیه وب سایت شما است. با نصب هدر Strict-Transport-Security ، برای هکر هاتقریباً غیرممکن است که اطلاعاتی را بدست آورند حتی ساده ترین اطلاعات شما.

کاربردهای پروتکل HSTS چیست ؟

شرکت چند میلیارد دلاری گوگل به طور رسمی سیاست امنیتی HSTS را در 29 ژوئیه 2016 ارائه کرد.

پروژه HSTS برای اولین بار در اوایل سال 2009 تنظیم شد. فیس بوک ، گوگل ، جیمیل ، توییتر و پی پال تنها برخی از پرتال های اصلی شبکه های اجتماعی و پرداخت هستند که امروزه از HSTS استفاده می کنند. حتی  دفتر اجرایی دولت ایالات متحده  رئیس جمهور آمریکا یک یادداشت سیاست الزامات اتصال امن در سراسر وب سایت ها و خدمات وب فدرال را تنظیم کرده است. در حالی که کل پروژه HSTS اولین بار در سال 2009 شروع به کار کرد.

نحوه فعال سازی HSTS برای وب سایت شما

اگر از زیر دامنه‌ها در ساختار محتوای خود استفاده می‌کنید، برای پوشش HTTPS به گواهی Wildcard نیاز دارید. در غیر این صورت، شما با داشتن یک گواهینامه SSL ایمن هستید. مطمئن شوید که این موارد را نصب کرده‌اید و به درستی کار می‌کنند. پس از اطمینان از اینکه HSTS با برنامه‌های وب شما کار می‌کند مدت زمان این پروتکل را به 63072000 تغییر دهید تا به مدت ۲ سال برای شما فعال باشد. با ادالمه ی مقاله‌ی پروتکل HSTS چیست با ما همراه باشید.

نصب HSTS برای وب سرور Apache

می توانید این را به فایل .htaccess خود در پوشه اصلی مانند public_html یا httpdoc اضافه کنید

# Use HTTP Strict Transport Security to force client to use secure connections only Header always set Strict-Transport-Security "max-age=300; includeSubDomains; preload"

نصب hsts برای lighttpd 

این تنظیمات را به  /etc/lighttpd/lighttpd.conf  اضافه کنید.

server.modules += ( "mod_setenv" ) $HTTP["scheme"] == "https" { setenv.add-response-header = ("Strict-Transport-Security" => "max-age=300; includeSubDomains; preload") } 

نصب hsts برای NGINX 

این تنظیمات را به site.conf خود اضافه کنید.

add_header Strict-Transport-Security 'max-age=300; includeSubDomains; preload; always;' 

فعال سازی hsts در وردپرس 

این تنظیمات را به .htaccess خود اضافه کنید.

<IfModule mod_headers.c>

Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;preload" env=HTTPS

</IfModule>

در پایان باید اضافه کنیم که گواهی SSL از آن جمله مواردی است که مطالعه‌ی آن نمی‌تواند خالی از لطف باشد، به همین دلیل پیشنهاد می‌کنیم فرصت مطالعه‌ی مقاله‌ی گواهینامه SSL چیست را از دست ندهید.