https://kini24.ru/tags/includesubdomains/ Блог ленивого сисадмина ru Aegea 11.3 (v4134) Блог ленивого сисадмина 4 https://kini24.ru/all/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt/ Tue, 16 Aug 2016 11:56:05 +0700 https://kini24.ru/all/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt/ <p>Сначала небольшая <a href="https://ru.wikipedia.org/wiki/HSTS">выдержка из википедии</a>:</p> <blockquote> <p><i>«HSTS (сокр. от англ. HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP. Механизм специфицирован в RFC6797 в ноябре 2012 года.</i></p> <p><i>HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и воровство кук.</i></p> <p><i>Дополнительную защиту https-соединений предоставляют методы Certificate pinning (хранение списка разрешенных для домена сертификатов или CA в исходных текстах браузера) и HTTP Public Key Pinning (англ.). Они предотвращают множество возможностей подмены tls-сертификатов https-сервера.»</i></p> </blockquote> <p>Для внедрения этой технологии нам понадобится несколько вещей:</p> <ol start="1"> <li>Наличие валидного сертификата (можно бесплатно получить на сайте <a href="https://letsencrypt.org/">Let’s Encrypt</a>)</li> <li>Уверенность в том, что будет использоваться только https протокол, включая все ваши субдомены.</li> <li>Полное перенаправление с http-версий сайтов на https.</li> </ol> <p>Если что-то из этого по каким-то причинам вам не подходит, то эта технология вам не нужна.</p> <p>Так как у меня используется «старенький» Apache версии 2.2, то и настраивать, соответственно, мы будет его. Для включения HSTS нам нужно добавить в файл /<i>etc/httpd2/conf/sites-available/default_https.conf</i> следующие строки:</p> <pre class="e2-text-code"><code class="">&lt;IfModule ssl_module&gt; &lt;VirtualHost *:443&gt; Header set Strict-Transport-Security &quot;max-age=31536000; includeSubDomains; preload&quot; &lt;/VirtualHost&gt; &lt;/IfModule&gt;</code></pre><p>Первые и последние две строки — стандартные для данного файла, если они имеются, то добавлять их не нужно. Нас больше всего интересует третья строчка.</p> <p>Инструкция Header set позволяет вставить заголовок в ответ сервера. В данном случае заголовок «Strict-Transport-Security». В скобках за ним расположены параметры этого заголовка:</p> <ul> <li><i>max-age</i> — время в секундах, которое будет действовать этот заголовок. Если быть точнее, то это время, в течение которого сайт будет доступен по протоколу HTTPS. Не рекомендуется устанавливать его менее 18 недель;</li> </ul> <ul> <li><i>includeSubDomains</i> — указывается, если действие заголовка распространяется также на поддомены. Не является обязательным;</li> </ul> <ul> <li><i>preload</i> — параметр, позволяющий указывать, что ваш сайт никогда не будет доступен по незащищенному протоколу. Не является обязательным. Про него будет чуть ниже.</li> </ul> <p>Итак, данные мы добавили, теперь нужно перезагрузить файлы конфигурации:</p> <pre class="e2-text-code"><code class=""># service httpd2 condreload</code></pre><p>Наличие заголовка в ответе сервера можно проверить, например, на <a href="http://mainspy.ru/otvet_servera">этом сайте</a>. Среди прочих вы должны увидеть такую строчку:</p> <pre class="e2-text-code"><code class="">Strict-Transport-Security: max-age=31536000; includeSubDomains; preload</code></pre><p>Идем на сайт <a href="https://www.ssllabs.com/ssltest/">ssllabs</a>, вводим адрес своего сайта с указанием https и тестируем, что у нас получилось. Тест занимает некоторое время, его вполне хватит на то, чтобы, например, налить себе чашечку кофе.</p> <p>По итогу мы должны увидеть такие строчки:</p> <div class="e2-text-picture"> <img src="https://kini24.ru/pictures/hsts-01.jpg" width="957" height="41" alt="Эту вы увидите в шапке отчета" /> <div class="e2-text-caption">Эту строчку вы увидите в шапке отчета</div> </div> <div class="e2-text-picture"> <img src="https://kini24.ru/pictures/hsts-02.jpg" width="854" height="47" alt="Эта будет находиться ближе к концу отчета" /> <div class="e2-text-caption">Эта будет находиться ближе к концу отчета</div> </div> <p>Если вы их видите, значит все в порядке. В противном случае ищите ошибку.</p> <p>И, наконец, про параметр <i>preload</i>. Существует так называемый «preload list», в котором перечислены все домены, использующие технологию HSTS. Своего рода список «избранных» :-) При желании вы можете <a href="https://hstspreload.appspot.com/">подать заявку</a> на включение вашего домена в этот список, но на скорый ответ не рассчитывайте. Список обновляется с выпуском каждой версии браузера Chrome, поэтому может пройти несколько месяцев, прежде, чем вы увидите, что ваш домен добавлен в него. Для подачи заявки нужно выполнить несколько требований, указанных на главной странице сайта, поэтому рекомендую прочитать ее внимательно. Значение имеет даже регистр параметров заголовка. В случае критической ошибки после нажатия на кнопку «Check status and eligibility» фон страницы станет красным, в случае некритической — желтым, если же все верно — зеленым. На этой же странице указано, что нужно делать, чтобы удалить свой домен из этого списка.</p> <p>В принципе, это все, что вам нужно знать об этой технологии защиты вашего сайта. Надеюсь, что этот текст вам помог.</p>