Como Configurar HSTS (HTTP Strict-Transport-Security)

O que é HSTS?

O HTTP Strict-Transport-Security é um cabeçalho de resposta que permite que um site informe ao navegador que o acesso deve ser feito em HTTPS e não, em HTTP. Este cabeçalho ajuda a evitar alguns tipos de ataques “man-in-the-middle”, pois ele converte automaticamente todas as solicitações HTTP para HTTPS. Já em um site que não possui este cabeçalho, o acesso é redirecionado de HTTP para HTTPS, sendo que o visitante teve acesso a comunicação sem criptografia(HTTP) mediante ao redirecionamento.

  

Como configurar o HSTS no painel?

A configuração de HSTS é feita somente via SmartRules. Antes da criação da regra de HSTS em si, deve haver as regras de redirecionamento (301), onde será feito todo, e qualquer, redirecionamento de HTTP para HTTPS. Clique aqui para conhecer nosso artigo sobre redirecionamento via painel GoCache.

Com as regras de redirecionamento criadas, podemos seguir para o próximo passo.

Selecione a URL como critério e adicione o endereço o qual deseja habilitar o HSTS. Em seguida, selecione a ação “Define Cabeçalho de Resposta” adicionando no campo o valor do cabeçalho, como por exemplo:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Também é possível adicionar valor que possui preload, segue um exemplo:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Neste caso é necessário confirmar se o site está com os devidos redirecionamentos e se existe o HSTS, após isso adicioná-lo a lista de Pré-Carregamento HSTS. Tudo isto é possível ser feito a partir deste link que submete o domínio e subdomínios, se a diretiva for adicionada a regra, à lista de preload do Google. Feito isto navegadores (como Chrome, Firefox, Opera, Safari, IE11 e Edge) irão conferir esta lista.

 

Diretivas

max-age - é o tempo, em segundos e diferente de 0, em que o navegador deve lembrar que o site que usa este cabeçalho só poderá ser acessado via HTTPS. 

includeSubDomains - esta diretiva é opcional, contudo quando é especificada ela aplica o cabeçalho para todos os subdomínios. 

preload - também opcional, porém quando especificada ela irá listar o domínio e subdomínios (este se possuir a diretiva includeSubDomains especificada) em listas de  Strict-Transport-Security, a qual fará com que navegadores nunca se conectem com o site de maneira não segura.

Portanto a configuração no painel da CDN deve ficar: 

HSTS.png  

Cenário Exemplo

Caso não tenha o HSTS configurado em seu site, os usuários podem ser vitímas de certa vulnerabilidade voltada a área de segurança na internet. Imagine um cenário onde uma pessoa que se conecta em uma rede de acesso público para acessar seu serviço bancário. Contudo o ponto de acesso no qual você se conectou é um dispositivo de alguém mal intencionado, no qual ele está interceptando as solicitações originais feitas HTTP e redirecionando para a cópia do site bancário que ele criou para, assim, roubar informações. Portanto seus dados sensíveis estão em posse do hacker.

O HSTS seria a solução deste problema, isto porque, desde que seu navegador tenha acessado o site criptografado do banco uma vez e o site use o cabeçalho de resposta Strict-Transport-Security, seu navegador saberá utilizar apenas o HTTPS do site original, impedindo que os atacantes realizem um ataque “man-in-the-middle”. 

Tem mais dúvidas? Envie uma solicitação

0 Comentários

Por favor, entre para comentar.