- Tổng đài 24/7: 1800 646 881
- Đăng nhập
- 3
HTTP Strict Transport Security (HSTS) được đánh giá là một trong những giao thức bảo mật mang đến sự an toàn cho người dùng Internet. Mặc dù đóng vai trò quan trọng như thế nhưng rất ít người hiểu rõ về HSTS. Bài viết dưới đây chúng tôi sẽ thông tin một vài nét tổng quan về giao thức đặc biệt này.
Giao thức bảo mật HTTP Strict Transport Security (HSTS) được các website sử dụng để tuyên bố với người dùng rằng chỉ nên truy cập chúng bằng kết nối an toàn HTTPS. Có nghĩa là khi một trang web thực hiện chính sách HTST thì kết nối HTTP sẽ bị trình duyệt từ chối và người dùng sẽ bị ngăn cản việc chấp nhận chứng chỉ SSL không an toàn.
Hiện tại chỉ một vài trình duyệt di động chưa được hỗ trợ HSTS, số còn lại đều đã được tích hợp sẵn. Năm 2012 HTTP Strict Transport Security chính thức được định nghĩa là tiêu chuẩn bảo mật web trong RFC 6797. Sự có mặt của nó đã hạn chế rất lớn các cuộc tấn công MITM bằng cách loại bỏ SSL.
Người dùng Internet thường bỏ qua phần giao thức khi nhập URL vào trình duyệt web. Chẳng hạn như bạn sẽ nhập www.bkhost.vn thay vì http://www.bkhost.vn. Lúc này trình duyệt sẽ mặc định là bạn dùng giao thức HTTP nên nó sẽ gửi một yêu cầu HTTP đến www.bkhost.vn.
Ở bước này một chuyển hướng sẽ được server web trỏ đến trang HTTPS nếu như website bạn muốn truy cập tuyên bố chính sách HTST. Ngay lập tức trình duyệt sẽ tạo kết nối HTTPS với www.bkhost.vn và cũng chính lúc này tiêu đề phản hồi HTTP sẽ được HSTS thực hiện:
Strict-Transport-Security:max-age=31536000;includeSubDomains;preload
Kể từ thời điểm nhận được tiêu đề Strict-Transport-Security trình duyệt sẽ từ chối kết nối HTTP. Thay vào đó mọi kết nối đến website và miền phụ của nó sẽ từ giờ trở đi phải là HTTPS. Trong trường hợp HTTPS không khả dụng thì bắt buộc kết nối phải được ngắt.
Nếu chứng chỉ hết hạn hoặc không được xác định bởi cơ quan có thẩm quyền thì kết nối sẽ bị gián đoạn. Cảnh báo sẽ được trình duyệt hiển thị và bạn có thể phá vỡ nó. Với những website tuyên bố HSTS thì bạn chỉ có thể xóa web ra khỏi HSTS mới có thể truy cập tiếp.
Website sẽ không được bảo vệ bởi HSTS ở lần truy cập đầu tiên của bạn. Nếu kết nối HTTP được thêm tiêu đề HSTS vào thì tiêu đề này bị hacker xóa hoặc thêm nó vào cuộc tấn công MITM. Chỉ khi được phân phối qua HTTPS thì tiêu đề mới an toàn và đáng tin.
Dựa vào khoảng thời gian bạn thiết lập trong max – age để đảm bảo website của bạn được kết nối bằng HTTPS. Một điều bạn nên biết đó là mỗi khi trình duyệt của bạn đọc tiêu đề thì HSTS max – age luôn được làm mới và điều đó kéo dài đến hai năm.
Như vậy có nghĩa là website sẽ được bảo vệ trong vòng 2 năm và tất nhiên trong thời gian đó nếu bạn không truy cập thì nó được xem là một trang web mới. Mặt khác trình duyệt sẽ xem website là một trang mới ở lần kết nối kế tiếp khi bạn cung cấp tiêu đề HSTS với max – age = 0.
Sử dụng danh sách tải trước HSTS sẽ bảo vệ website của bạn trước sự tấn công của kẻ xấu. Một khi bạn đã thêm website vào danh sách này thì trình duyệt sẽ kiểm tra trước khi quá trình kết nối xảy ra. Vì vậy mà trang web sẽ không bao giờ được truy cập qua HTTP kể cả ở lần kết nối đầu tiên.
Hiện tại tấn công khuếch đại dựa trên NTP có thể đánh bại HSTS. Một khi Client hết hạn HSTS và bị tấn công NTP thì hệ thống dễ bị xâm nhập, hacker sẽ ăn cắp tài nguyên để phục vụ mục đích bất chính.
Tên miền sẽ được thêm thành công vào danh sách tải trước HSTS khi website cho miền đó đáp ứng tốt một vài yêu cầu, cụ thể:
Danh sách tải trước sẽ được mã hóa cứng và phân phối dưới dạng tài nguyên. Bên cạnh đó để đảm bảo bảo mật nó cũng không được trình duyệt truy cập hoặc download. Như vậy có thể thấy để miền xuất hiện ở danh sách phải mất một khoảng thời gian khá dài đồng thời để xóa nó cũng không phải là điều dễ dàng. Vì thế bạn chỉ nên thêm web vào danh sách khi đảm bảo có thể duy trì quyền truy cập HTTPS lâu dài.
Khi bạn thiết lập HSTS không chính xác thì bạn phải xóa bộ nhớ cache HSTS trong trình duyệt để không bị chặn việc truy cập website. Một số phương pháp sau có thể giúp bạn thực hiện thao tác trên ở một số trình duyệt thường dùng. Tuy nhiên trường hợp danh sách tải trước HSTS chứa miền của bạn thì việc xóa bộ nhớ cache HSTS không có hiệu quả.
Các bước xóa miền khỏi bộ nhớ cache HSTS của Chrome như sau:
Bước 1: Truy cập chrome://net-internals/# hsts
Bước 2: Nhập miền cần xóa vào hộp thoại ở mục Delete domain security policies.
Bước 3: Chọn Delete.
Bước 4: Ở phần Query HSTS/PKP nhập miền cần xác minh và chọn Query để kiểm tra đã Delete thành công chưa.
Bước 5: Xuất hiện cụm từ “Not found” tức là quá trình trên đã hoàn thành.
Có nhiều phương pháp để xóa miền khỏi bộ nhớ cache HSTS ở Firefox. Tuy nhiên cách nhanh nhất để loại bỏ thông tin HSTS mà bạn không nên bỏ qua đó là:
Các bước để xóa thông tin HSTS ở Apple Safari rất đơn giản:
Với các trình duyệt của Microsoft thì bạn không thể xóa miền khỏi bộ nhớ cache HSTS. Thao tác bạn có thể làm đó là tắt tạm thời HSTS trong Internet Explorer 11 và Windows 7, Windows 8.
Trên đây là những thông tin cơ bản về HTTP Strict Transport Security. Hy vọng với những gì chúng tôi cung cấp bạn sẽ hiểu rõ hơn về giao thức này để biết cách sử dụng nó hợp lý, hiệu quả.
Nếu còn gặp bất cứ vướng mắc gì về nội dung bài viết trên, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.
Mua Hosting Giá Rẻ tại BKHOST
Hosting siêu tốc – Khuyến mãi cực sốc.
Giá chỉ từ 5k/tháng.