دسته‌ها
IIS Web Server

ضرورت بهره مندی از ویژگی HSTS

HTTP Strict Transport Security (HSTS) یک مکانیسم امنیتی اضافی میباشد که برای محافظت بهتر از مراجعین و محتوای وب سایتها مورد استفاده قرار می گیرد.

HSTS مرورگرهای وب را وادار می کند که تنها از طریق HTTPS (پروتکل انتقال ابرمتن امن) به یک وب سایت دسترسی داشته باشند.

به این ترتیب، حتی اگر کاربران به طور تصادفی از طریق پرتکل HTTP به سایت مراجعه کنند، مرورگر به طور خودکار به اتصال HTTPS هدایت می شود. و خطرات امنیتی مانند حملات “man-in-the-middle” به میزان قابل توجهی کاهش می یابد.

HSTS چگونه کار می کند؟

HSTS توسط وب سرور با دستورالعمل اضافه شده به سربرگ “Strict-Transport-Security” در بخش پاسخ HTTP فعال می شود.

در سربرگ مذکور مشخصات خاصی برای دسترسی مرورگر تعیین می شود. از جمله این که، مرورگر باید برای مدت معینی (به عنوان مثال 1 سال) فقط از طریق HTTPS به سایت دسترسی داشته باشد.

هنگامی که مرورگر این دستورالعمل را دریافت نماید، به طور خودکار تمام درخواست های سایت را به HTTPS هدایت می کند.

به عنوان مثال، دستورالعمل HSTS می تواند به شکل زیر ایجاد شود:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

  • max-age: مدت اعتبار دستورالعمل HSTS را بر حسب ثانیه مشخص می کند. در این مثال، بخشنامه به مدت 1 سال اعتبار دارد.
  • includeSubDomains: اعتبار HSTS برای تمامی زیر دامنه ها را نشان می دهد.
  • HSTS Preload: فهرستی از دستورالعمل های HSTS که مرورگرهای وب محبوب از پیش بارگذاری می کنند. افزودن وب‌سایت خود به فهرست HSTS Preload به مرورگرها اجازه می‌دهد تا اتصال HTTPS را سریع‌تر و ایمن‌تر برقرار کنند.

مزایای پروتکل HSTS

  • HSTS با جلوگیری از اتصال تصادفی کاربران به سایت از طریق HTTP، خطر حملات man-in-the-middle را کاهش می دهد.
  • در این نوع پیکربندی خاص، به لطف هدایت خودکار مرورگرها به HTTPS، کاربران می توانند با خیال آسوده به یک اتصال امن و پایدار دسترسی داشته باشند.
  • موتورهای جستجو مانند گوگل سایت هایی را که از HTTPS استفاده می کنند قابل اعتمادتر ارزیابی نموده و در نتایج جستجو امکان نمایش آنها در رتبه های بالاتر وجود دارد.
  • HSTS با نمایان نمودن اعتقاد صاحبان وب سایت به اهمیت اقدامات امنیتی، اعتبار برند را افزایش می دهد.

محدودیت های ویژگی HSTS

  • اگر کاربر برای اولین بار از طریق HTTP به یک سایت سازگار با HSTS متصل شود، امکان ایجاد یک اتصال ناامن وجود دارد. زیرا مرورگر وی ممکن است هنوز از دستورالعمل HSTS مطلع نباشد. برای حل این مشکل، تشویق کاربران به استفاده از HTTPS می تواند مفید باشد.
  • اگر ویژگی HSTS به درستی پیکربندی نشده باشد، ممکن است مشکلاتی در دسترسی مستمر به سایت ایجاد شود. به عنوان مثال، اگر مقدار “max-age” بسیار طولانی تنظیم شود، کاربرانی که به طور تصادفی از طریق HTTP به سایت مراجعه می کنند، برای مدت طولانی نمی توانند سایت مذکور را به درستی مشاهده نمایند.

برای پیاده سازی HSTS در وب سایت خود، باید تغییرات لازم در تنظیمات پیکربندی وب سرور را به طور دقیق اعمال نمایید.

اکثر وب سرورهای مشهور روش های آسانی را برای اضافه کردن دستورالعمل HSTS ارائه می دهند. به عنوان مثال، در وب سرورهای محبوب مانند Apache و Nginx، دستورالعمل HSTS را می توان با افزودن آن به فایل پیکربندی سرور فعال نمود.

در این بخش ویژگی HSTS در تنظیمات وب سرور IIS را به طور مفصل بررسی می نماییم.

تنظیمات HSTS وب سرور IIS

برای پیکربندی HSTS در IIS، می توانید مراحل زیر را دنبال کنید:

  • برای باز کردن کنسول مدیریت IIS، از منوی Start به بخش Run… مراجعه نموده عبارت “inetmgr” را تایپ کنید و بر روی دکمه OK کلیک نمایید.
  • از نمای درختی سمت چپ، وب سایت مورد نظر را انتخاب کنید.
  • با کلیک راست روی وب سایت انتخاب شده گزینه “HTTP Headers” را اجرا نمایید.
  • در صفحه باز شده، روی دکمه “Add Custom Header” کلیک کنید.
  • در پنجره پیش رو در قسمت Name عبارت «Strict-Transport-Security» و در قسمت Value “max-age=31536000; includeSubDomains; preload” را تایپ نموده برای زخیره و اعمال تغییرات بر روی دکمه OK کلیک کنید.

اختیارات و ملاحظات بیشتر

  • اگر زیر دامنه‌های دیگری را در وب‌سایت خود میزبانی می‌کنید، ممکن است لازم باشد HSTS را به طور جداگانه برای هر یک از آنها پیکربندی کنید.
  • پس از طی مراحل پیکربندی HSTS، می توانید از طریق یکی از ابزارهای آنلاین نتیجه تنظیمات اعمالی خود را بررسی نمایید.
  • مدت زمان اعتبار گواهی SSL/TLS شما باید بیشتر از دستورالعمل HSTS باشد. در غیر این صورت، پس از تمدید گواهی ممکن است کاربران برای دسترسی به سایت با مشکل مواجه شوند.
  • علاوه بر این، با افزودن وب‌سایت خود به فهرست HSTS Preload، می‌توانید مرورگرهای مراجعین را ملزم نمایید تا به طور سریع‌تر و ایمن‌تر اتصال HTTPS را برقرار کنند.

پس از ارسال دستورالعمل HSTS، مرورگر سعی خواهد کرد تا برای مدت زمان مشخص شده فقط از طریق HTTPS به سایت دسترسی داشته باشد. حتی اگر بخواهید دستورالعمل HSTS را در این مدت حذف کنید، مرورگر همچنان دستورالعمل مذکور را حفظ خواهد کرد.

استفاده از HSTS در نسخه ارتباط HTTP/2، می تواند موثرتر واقع گردد. زیرا HTTP/2 تجربه کاربری سریع‌تر و ایمن‌تری را نسبت به نسخه قبلی ارائه می‌دهد.

اگرچه HSTS با اعمال دقیق تنظیمات پیکربندی در راستای ارتقای امنیت وب سایت ها ابزار قدرتمندی محسوب می شود، برای ارتباطی با کیفیت، سریع و ایمن، با مطالعه و بروز رسانی سایر اقدامات امنیتی، خطرات و ریسکهای احتمالی نیز باید به طور مستمر مورد بررسی قرار گیرند.

نسخه ترکی