(Translated by https://www.hiragana.jp/)
HTTP严格传输安全 - 维基百科,自由的百科全书 とべ转到内容ないよう

HTTP严格传输安全あんぜん

本页使用了标题或全文手工转换
维基百科ひゃっか自由じゆうてき百科ひゃっかぜん
重定しげさだこうHSTS

HTTP严格传输安全あんぜん英語えいごHTTP Strict Transport Security縮寫しゅくしゃHSTSいち套由互联网工ほどにん务组发布てき互联网安全あんぜん策略さくりゃくつくえせい网站以选择使用しようHSTS策略さくりゃくらい浏览强制きょうせい使用しようHTTPSあずか网站进行通信つうしん,以减すくなかい话劫风险。[1][2]

徵求ちょうきゅう修正しゅうせい意見いけんしょぶんけん编号RFC 6797,发布于2012ねん11月。

内容ないよう

[编辑]

HSTSてき作用さよう强制きょうせいきゃく户端(如浏览器)使用しようHTTPSあずかふく务器建立こんりゅう连接。ふく务器开启HSTSてき方法ほうほうとうきゃく户端どおり过HTTPS发出请求时,ざいふく务器かえしかいてき超文ちょうぶんほん传输协议(HTTP)响应头中包含ほうがんStrict-Transport-Securityだんみつ传输时设おけてきHSTSだん无效。[3]

如,https://example.com/ てき响应头含有がんゆうStrict-Transport-Security: max-age=31536000; includeSubDomains。这意味いみ两点:

  1. ざいせっらいてき31536000びょうそくいちねんちゅう,浏览こうexample.comある其子いきめい发送HTTP请求时,必须さいようHTTPSらい发起连接。如,よう户点击ちょう链接ある在地ざいち栏输にゅう http://www.example.com/ ,浏览应当动将 http 转写なる https,しかきさき直接ちょくせつこう https://www.example.com/ 发送请求。
  2. ざいせっらいてきいちねんちゅう,如果 example.com ふく务器发送てきTLS证书无效,よう不能ふのうゆるがせりゃく浏览警告けいこく继续访问网站。

历史

[编辑]

HSTSてき雏形于2008ねん4がつざい北京ぺきん召开てきだいじゅうななとどけくにまん维网大会たいかいえいInternational World Wide Web Conferenceうえ柯林·杰克逊(Collin Jacksonかず亚当·ともえ斯(Adam Barthてき题为“ForceHTTPS: Protecting High-Security Web Sites from Network Attacks”てきえんじ讲。们的ひさげ议是使用しよう“ForceHTTPS” Cookieらい强制きょうせい浏览使用しようHTTPS[4]

2009ねん9がつ18にち们和杰夫·霍奇斯(Jeff Hodges)发布りょう最初さいしょてき草案そうあん,题目为"Strict Transport Security"[5],这个草案そうあんもと于ForceHTTPS,并有しょおさむあらため[4]

2010ねん6がつ17にち,这さん作者さくしゃ经由互联网工ほどにん务组发布りょうくびばん互联网草あんえいInternet Draft,"HTTP Strict Transport Security"[6]

2012ねん10がつ2にち互联网工ほどゆび导组えいInternet Engineering Steering Group批准ひじゅんりょうはただい14はんHSTS草案そうあん发布为RFCてき请求[7]

2012ねん11月19にち,互联网工ほどにん务组发布RFC 6797[8]

作用さよう

[编辑]

HSTS以用らい抵御SSLへず离攻击。SSLへず离攻击是ちゅう间人おさむてきいち种,ゆかりMoxie MarlinspikeえいMoxie Marlinspike于2009ねん发明。ざい当年とうねんてきくろぼう大会たいかいじょう发表てき题为“New Tricks For Defeating SSL In Practice”てきえんじ中将ちゅうじょう这种おさむ击方しきおおやけ开。SSLへず离的实施方法ほうほう阻止そし浏览あずかふく务器建立こんりゅうHTTPS连接。它的前提ぜんていよう户很しょう直接ちょくせつ在地ざいち栏输いれhttps://よう户总どおり过点击链せっある3xx重定しげさだむかい,从HTTP页面进入HTTPS页面。所以ゆえんおさむ击者以在よう户访问HTTP页面时替换所有しょゆうhttps://开头てき链接为http://,达到阻止そしHTTPSてき目的もくてき[9]

HSTS以很だい程度ていどじょうかい决SSLへず离攻击,いん为只よう浏览曾经与ふく务器建立こんりゅういち安全あんぜん连接,これきさき浏览かい强制きょうせい使用しようHTTPS,そく使つかい链接换成りょうHTTP[3][10]

另外,如果ちゅう间人使用しよう自己じこてき签名证书らい进行おさむ击,浏览かい给出警告けいこくただし许多よう户会ゆるがせりゃく警告けいこく。HSTSかい决了这一问题,一旦服务器发送了HSTSだんはたさいまこと许用户忽りゃく警告けいこく

不足ふそく

[编辑]

よう户首访问ぼう网站受HSTS护的。这是いん为首访问时,浏览未收みしゅういたHSTS,所以ゆえん仍有可能かのうどおり过明ぶんHTTPらい访问。かい决这个不足ふそく目前もくぜんゆう两种方案ほうあん,一是浏览器预置HSTSいきめいれつひょうGoogle ChromeFirefoxInternet ExplorerMicrosoft Edge实现りょう这一方案ほうあん[11][12]はたHSTSしんいき加入かにゅういたいきめいけい记录ちゅうただし这需よう证DNSてき安全あんぜんせい,也就需要じゅよう部署ぶしょいきめいけい统安ぜん扩展。截至2016ねん这一方案没有大规模部署。

よし于HSTSかいざい一定いってい时间きさき失效しっこう有效ゆうこうゆかりmax-age指定してい),所以ゆえん浏览强制きょうせいHSTSさく略取りゃくしゅ决于とうまえけい统时间。部分ぶぶん操作そうさけい统经つねどおり网络时间协议更新こうしんけい统时间,如Ubuntu每次まいじ连接网络时、OS X Lionまいへだた9ふん钟会动连せっ时间ふく务器。おさむ击者以通过伪づくりNTPしんいき,设置错误时间らい绕过HSTS。かい决方ほう认证NTPしんいきあるもの禁止きんしNTP大幅おおはばぞう减时间。Windows 8まい7てん更新こうしんいち时间,并且要求ようきゅう每次まいじNTP设置てき时间あずかとうぜん时间とくちょう过15しょう时。[13]

浏览支持しじ

[编辑]

网站支持しじ

[编辑]

すえSSL Pulseてき调查,截至2015ねん2がつ,仅有2.7%てき网站开启りょうHSTS[17]いたり2023ねん11月てき統計とうけいゆう34.2%てき网站开启HSTS。

目前もくぜん支持しじHSTSてき主流しゅりゅう网站ゆうささえづけたから[18]PayPal[2]Twitter[2]维基百科ひゃっか[19]ひとし

まいり

[编辑]

参考さんこう文献ぶんけん

[编辑]
  1. ^ Steven Musil. Web security protocol HSTS wins proposed standard status. CNET. 2012-10-02 [2014-11-09]. (原始げんし内容ないようそん于2014-11-10). 
  2. ^ 2.0 2.1 2.2 邹铮编译. HTTP严格传输安全あんぜん协议なり互联网标じゅん. 网界网. 2012-11-23 [2014-11-06]. (原始げんし内容ないようそん于2014-11-06). 
  3. ^ 3.0 3.1 HTTP Strict Transport Security (HSTS). Internet Engineering Task Force. November 2012 [2014-11-06]. (原始げんし内容ないようそん于2020-02-26). 
  4. ^ 4.0 4.1 Collin Jackson, Adam Barth. ForceHTTPS: Protecting High-Security Web Sites from Network Attacks. [2014-11-08]. (原始げんし内容ないようそん档于2020-02-28). 
  5. ^ Jeff Hodges, Collin Jackson, Adam Barth. Strict Transport Security. 18 September 2009 [2014-11-08]. (原始げんし内容ないようそん于2014-10-12). 
  6. ^ Jeff Hodges, Collin Jackson, Adam Barth. draft-hodges-strict-transport-sec-00 - HTTP Strict Transport Security (HSTS). June 17, 2010 [2014-11-08]. (原始げんし内容ないようそん于2014-11-11). 
  7. ^ The IESG. [websec] Protocol Action: 'HTTP Strict Transport Security (HSTS)' to Proposed Standard (draft-ietf-websec-strict-transport-sec-14.txt). 2 Oct 2012 [2014-11-08]. (原始げんし内容ないようそん于2017-01-29). 
  8. ^ The RFC Editor Team. [websec] RFC 6797 on HTTP Strict Transport Security (HSTS). 19 Nov 2012 [2014-11-08]. (原始げんし内容ないようそん于2014-11-08). 
  9. ^ Moxie Marlinspike. New Tricks For Defeating SSL In Practice (PDF). [2014-11-06]. (原始げんし内容ないよう (PDF)そん档于2014-12-30). 
  10. ^ つう过HTTPS护网站的安全あんぜん. Google. [2014-11-06]. (原始げんし内容ないようそん于2014-12-23). 
  11. ^ David Keeler. Preloading HSTS. Mozilla. 2012ねん11月1にち [2014-11-06]. (原始げんし内容ないようそん于2020-02-24). 
  12. ^ Bell, Mike; Walp, David. HTTP Strict Transport Security comes to Internet Explorer. February 16, 2015 [16 February 2015]. (原始げんし内容ないようそん于2015-11-15). 
  13. ^ Jose Selvi. Bypassing HTTP Strict Transport Security (PDF). Blackhat Europe 2014. [2014-11-06]. (原始げんし内容ないよう (PDF)そん档于2014-10-22). 
  14. ^ HTTP Strict Transport Security. Mozilla. [2011-03-17]. (原始げんし内容ないようそん于2012-08-13). 
  15. ^ Opera Software ASA. Web specifications support in Opera Presto 2.10. 23 April 2012 [2012-05-08]. (原始げんし内容ないようそん于2016-09-11). 
  16. ^ Internet Explorer Web Platform Status and Roadmap. [2014-04-11]. (原始げんし内容ないようそん于2015-06-29). 
  17. ^ SSL Pulse - Survey of the SSL Implementation of the Most Popular Web Sites. TIM Trustworthy Internet Movement. [2015-02-16]. (原始げんし内容ないようそん档于2017-05-15). 
  18. ^ Qualys SSL Labs - Projects / SSL Server Test / alipay.com. Qualys SSL Labs. [2014-11-06]. 
  19. ^ Chmarkine, CSteipp, Dzahn, Filippo Giunchedi, JanZerebecki, John F. Lewis. lists.wm.org - raise HSTS max-age to 1 year. Wikimedia Code Review. Oct 7, 2014 [2014-11-06]. 

外部がいぶ链接

[编辑]
协议わざ
おおやけ钥基础设ほどこせ
另见
历史
实现
おおやけ
ほら
みつ码本
协议
实现
检索https://zh.wikipedia.org/w/index.php?title=HTTP严格传输安全あんぜん&oldid=79730136