HTTP Strict Transport Security - migliorare la sicurezza del sito

Possiamo fare di meglio con l'HTTPS?

Come noto, HTTPS è uno standard che garantisce la sicurezza nella comunicazione tra un sito web e il browser del visitatore, tramite una connessione criptata, che funziona grazie al certificato di sicurezza del sito.

Tuttavia, esiste un piccolo tempo (stiamo parlando di millisecondi), durante il quale il browser dialoga con il server per stabilire la connessione da usare per il trasferimento dati, che non è scontato sia da subito in HTTPS, e quindi criptata.

Mi sto riferimento al momento in cui un browser aprendo una URL che inizia per http:// viene poi diretto sulla corrispondente url https://: se vi sta venendo il sospetto che qualcuno possa sfruttare questo piccolo "spazio" per sferrare un attacco la risposta purtrippo è sì.

HTTP Strict Transport Security

HTTP Strict Transport Security pare porre rimedio a questa possibile problema.

Supponendo che un sito rispetti i seguenti requisiti:

  • dispone di un certificato valido
  • effettua redirect da HTTP a HTTPS sullo stesso server (solo se risponde sulla porta 80/tcp)
  • tutti gli eventuali sottodomini sono serviti in HTTPS
  • il web server implementa HSTS con attributi minimi richiesti

Il gestore del sito può validare e sottoporre il sito tramite:

hstspreload.org/

Effettuato il Sumbit, i maggiori browser (Chrome, Firefox, Opera, Safari, IE 11 and Edge) incorporeranno l'indirizzo in modo da sapere a priori che il sito in questione dovrà essere accessibile solo in HTTPS: senza se e senza ma.

Server Apache e Strict-Transport-Security

La direttiva suggerita per il web server Apache è

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Che indica sostanzialmente che Strict-Transport-Security è attivo e che questa direttiva "vale" per un valore di max-age (1 anno espresso in secondi) dopo la prima richiesta, include tutti i sottodomini ed è pre-caricata dai browser che lo supportano.

Attenzione: implementare HSTS su siti esistenti è una operazione delicata perché di fatto impedisce ai browser di accedere a delle risorse in http://, quindi vanno effettuati tutti i test come consigliato su https://hstspreload.org/; ad esempio implementano un valore di max-age dapprima basso (per poter porre rimedio in caso di problemi).


Pubblicato il 20/04/2021

Registra a solo €2,00 un dominio con bitName!

...

Come collegare il tuo dominio a un sito creato con Wix

Come utilizzare un dominio che hai già acquistato da un altro provider per collegarlo al sito creato con Wix.

...

Cos'è e quando avviene l'indicizzazione del sito web?

Come far apparire il tuo sito sul motore di ricerca di Google. Ecco alcuni consigli per chi ha realizzato un nuovo sito.

...

Come verificare proprietà di un nome a dominio

Quando viene registrato un dominio è necessario indicare con precisione i dati anagrafici dell'intestatario (Registrant) sia esso una persona fisica o una società con un eventuale rappresentante legale

Vuoi saperne di più su bitName? Contattaci subito!