Η αδυναμία ή ακόμη και η αμέλεια των server admins να ρυθμίσoυν σωστά το πρωτόκολλο HTTP Strict Τransport Security (HSTS), είναι και η αιτία που ένα μεγάλο μέρος του σημερινού HTTPS traffic μπορεί να παραβιαστεί μέσω ασήμαντων επιθέσεων.
Το HSTS πρόκειται ουσιαστικά για μια πολιτική ασφάλειας του Web που υποστηρίζεται από τα περισσότερα σημερινά προγράμματα περιήγησης. Το HSTS βοηθά τους webmasters να προστατεύουν αποτελεσματικά τις υπηρεσίες και τους χρήστες τους έναντι HTTPS downgrades (υποβάθμιση HTTPS συνδέσεων σε HTTP), man-in-the-middle επιθέσεις, και cookie hijacking HTTΡS συνδέσεων.
Σύμφωνα με μια πρόσφατη μελέτη της Netcraft, το 95% του συνόλου των servers που τρέχουν σε HTTΡS, αποτυγχάνουν να εφαρμόσουν σωστά το HSTS, ή περιλαμβάνουν σφάλματα στα configuration settings, τα οποία καθιστούν τις συνδέσεις server-client επιρεπείς στα προαναφερόμενα σενάρια επίθεσης.
Αυτό που είναι ακόμη πιο ενδιαφέρον είναι ότι τα ποσοστά της σωστή χρήσης του ΗSTS έχουν παραμείνει στα ίδια επίπεδα τα τελευταία τρία χρόνια, σύμφωνα με τις μετρήσεις της Netcraft. Αυτό δείχνει ότι οι webmasters αγνοούν ότι υλοποιούν το HSTS με εσφαλμένο τρόπο, είτε απλά δεν ενδιαφέρονται.
Το ευκολότερο σενάριο επίθεσης έναντι επισφαλών ιστοσελίδων είναι το HTTPS downgrade, κατά το οποίο οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν πολλαπλές μεθόδους προκειμένου να αναγκάσουν μια φαινομενικά ασφαλή σύνδεση HTTPS να μην χρησιμοποιήσει καμία κρυπτογράφηση ή να χρησιμοποιήσει ένα ασθενέστερο πιστοποιητικό, το οποίο μπορεί να δεχτεί επίθεση και να σπάσει αργότερα.
Σύμφωνα με τους ερευνητές ασφαλείας, μεταξύ του 95% των ιστοσελίδων που αποτυγχάνουν να υλοποιήσουν σωστά το HSTS, περιλαμβάνονται πολλές τράπεζες και ιστοσελίδες που υλοποιούν χρηματοοικονομικές συναλλαγές.
Μπορείτε να ενεργοποιήσετε το ΗTST, προσθέτοντας μια γραμμή στο αρχείο server config
H εφαρμογή του HTST γίνεται με την προσθήκη μίας και μόνο γραμμής κώδικα στο server configuration:
Strict-Transport-Security: max-age=31536000;
βάση της οποίας ο server δίνει εντολή στα προγράμματα περιήγησης να αποκτούν πρόσβαση στα περιεχόμενα του μόνο μέσω HTTPS συνδέσεων και θέτει το μέγιστο keep-alive value του ενός έτους.
Όταν αυτή η ρύθμιση είναι ενεργή, ακόμη και εάν ο χρήστης πληκτρολογήσει το πρόθεμα “http: //” στη γραμμή URL, ο browser θα την αλλάξει αυτόματα σε “https: //” κατά το αίτημα του server.
