#

HTTP Strict Transport Security là gì? HSTS có an toàn không?

HTTP Strict Transport Security (HSTS) được đánh giá là một trong những giao thức bảo mật mang đến sự an toàn cho người dùng Internet. Mặc dù đóng vai trò quan trọng như thế nhưng rất ít người hiểu rõ về HSTS. Bài viết dưới đây chúng tôi sẽ thông tin một vài nét tổng quan về giao thức đặc biệt này.

HTTP Strict Transport Security là gì?

HTTP Strict Transport Security la gi

Giao thức bảo mật HTTP Strict Transport Security (HSTS) được các website sử dụng để tuyên bố với người dùng rằng chỉ nên truy cập chúng bằng kết nối an toàn HTTPS. Có nghĩa là khi một trang web thực hiện chính sách HTST thì kết nối HTTP sẽ bị trình duyệt từ chối và người dùng sẽ bị ngăn cản việc chấp nhận chứng chỉ SSL không an toàn.

Đăng ký tên miền .COM giá siêu rẻ

BKHOST đang có chương trình khuyến mãi cực shock dành cho khách hàng đăng ký mới tên miền .COM:

  • Giá gốc 340k.
  • Giảm giá chỉ còn 265k/năm đầu.

Đừng để đối thủ lấy mất thương hiệu của bạn trên internet. Đăng ký ngay hôm nay:

đăng kí tên miền .com

Hiện tại chỉ một vài trình duyệt di động chưa được hỗ trợ HSTS, số còn lại đều đã được tích hợp sẵn. Năm 2012 HTTP Strict Transport Security chính thức được định nghĩa là tiêu chuẩn bảo mật web trong RFC 6797. Sự có mặt của nó đã hạn chế rất lớn các cuộc tấn công MITM bằng cách loại bỏ SSL.

HSTS hoạt động như thế nào?

Người dùng Internet thường bỏ qua phần giao thức khi nhập URL vào trình duyệt web. Chẳng hạn như bạn sẽ nhập www.bkhost.vn thay vì http://www.bkhost.vn. Lúc này trình duyệt sẽ mặc định là bạn dùng giao thức HTTP nên nó sẽ gửi một yêu cầu HTTP đến www.bkhost.vn.

Ở bước này một chuyển hướng sẽ được server web trỏ đến trang HTTPS nếu như website bạn muốn truy cập tuyên bố chính sách HTST. Ngay lập tức trình duyệt sẽ tạo kết nối HTTPS với www.bkhost.vn và cũng chính lúc này tiêu đề phản hồi HTTP sẽ được HSTS thực hiện:

Strict-Transport-Security:max-age=31536000;includeSubDomains;preload

Kể từ thời điểm nhận được tiêu đề Strict-Transport-Security trình duyệt sẽ từ chối kết nối HTTP. Thay vào đó mọi kết nối đến website và miền phụ của nó sẽ từ giờ trở đi phải là HTTPS. Trong trường hợp HTTPS không khả dụng thì bắt buộc kết nối phải được ngắt.

Nếu chứng chỉ hết hạn hoặc không được xác định bởi cơ quan có thẩm quyền thì kết nối sẽ bị gián đoạn. Cảnh báo sẽ được trình duyệt hiển thị và bạn có thể phá vỡ nó. Với những website tuyên bố HSTS thì bạn chỉ có thể xóa web ra khỏi HSTS mới có thể truy cập tiếp.

HSTS có an toàn không?

Website sẽ không được bảo vệ bởi HSTS ở lần truy cập đầu tiên của bạn. Nếu kết nối HTTP được thêm tiêu đề HSTS vào thì tiêu đề này bị hacker xóa hoặc thêm nó vào cuộc tấn công MITM. Chỉ khi được phân phối qua HTTPS thì tiêu đề mới an toàn và đáng tin.

Dựa vào khoảng thời gian bạn thiết lập trong max – age để đảm bảo website của bạn được kết nối bằng HTTPS. Một điều bạn nên biết đó là mỗi khi trình duyệt của bạn đọc tiêu đề thì HSTS max – age luôn được làm mới và điều đó kéo dài đến hai năm.

Như vậy có nghĩa là website sẽ được bảo vệ trong vòng 2 năm và tất nhiên trong thời gian đó nếu bạn không truy cập thì nó được xem là một trang web mới. Mặt khác trình duyệt sẽ xem website là một trang mới ở lần kết nối kế tiếp khi bạn cung cấp tiêu đề HSTS với max – age = 0.

Sử dụng danh sách tải trước HSTS sẽ bảo vệ website của bạn trước sự tấn công của kẻ xấu. Một khi bạn đã thêm website vào danh sách này thì trình duyệt sẽ kiểm tra trước khi quá trình kết nối xảy ra. Vì vậy mà trang web sẽ không bao giờ được truy cập qua HTTP kể cả ở lần kết nối đầu tiên.

Hiện tại tấn công khuếch đại dựa trên NTP có thể đánh bại HSTS. Một khi Client hết hạn HSTS và bị tấn công NTP thì hệ thống dễ bị xâm nhập, hacker sẽ ăn cắp tài nguyên để phục vụ mục đích bất chính.

Thêm tên miền vào danh sách tải trước HSTS như thế nào?

Tên miền sẽ được thêm thành công vào danh sách tải trước HSTS khi website cho miền đó đáp ứng tốt một vài yêu cầu, cụ thể:

  • Website có chứng chỉ hợp lệ và mật mã cập nhật.
  • Chuyển hướng website của bạn từ HTTP qua HTTPS.
  • Cả hai điều 1 và 2 nói trên áp dụng ở các miền và miền phụ.
  • Cung cấp tiêu đề Strict-Transport-Security: max-age=31536000; includeSubDomains; preload cho miền cơ sở.
  • Gửi miền bằng biểu mẫu sau khi truy cập hstspreload.org. Nếu mọi điều kiện ở trên đáp ứng đủ thì nó sẽ được xem xét và thêm vào danh sách tải trước HSTS.

Danh sách tải trước sẽ được mã hóa cứng và phân phối dưới dạng tài nguyên. Bên cạnh đó để đảm bảo bảo mật nó cũng không được trình duyệt truy cập hoặc download. Như vậy có thể thấy để miền xuất hiện ở danh sách phải mất một khoảng thời gian khá dài đồng thời để xóa nó cũng không phải là điều dễ dàng. Vì thế bạn chỉ nên thêm web vào danh sách khi đảm bảo có thể duy trì quyền truy cập HTTPS lâu dài.

Xóa tên miền khỏi bộ nhớ cache HSTS trong trình duyệt bằng cách nào?

Khi bạn thiết lập HSTS không chính xác thì bạn phải xóa bộ nhớ cache HSTS trong trình duyệt để không bị chặn việc truy cập website. Một số phương pháp sau có thể giúp bạn thực hiện thao tác trên ở một số trình duyệt thường dùng. Tuy nhiên trường hợp danh sách tải trước HSTS chứa miền của bạn thì việc xóa bộ nhớ cache HSTS không có hiệu quả.

Xóa khỏi Google Chrome

Các bước xóa miền khỏi bộ nhớ cache HSTS của Chrome như sau:

Bước 1: Truy cập chrome://net-internals/# hsts

Bước 2: Nhập miền cần xóa vào hộp thoại ở mục Delete domain security policies.

Xaa khoi Google Chrome-2

Bước 3: Chọn Delete.

Bước 4: Ở phần Query HSTS/PKP nhập miền cần xác minh và chọn Query để kiểm tra đã Delete thành công chưa.

Bước 5: Xuất hiện cụm từ “Not found” tức là quá trình trên đã hoàn thành.

Xaa khoi Google Chrome-5

Xóa khỏi Mozilla Firefox

Có nhiều phương pháp để xóa miền khỏi bộ nhớ cache HSTS ở Firefox. Tuy nhiên cách nhanh nhất để loại bỏ thông tin HSTS mà bạn không nên bỏ qua đó là:

  • Các tab đang mở của website phải được đóng.
  • Gõ tên miền bạn muốn delete ở thanh tìm kiếm.
  • Nhấn chuột phải vào tên miền và chọn “Forget About This site”.

Xoa khoi Mozilla Firefox

  • Tiến hành khởi động lại Firefox.

Xóa khỏi Apple Safari

Các bước để xóa thông tin HSTS ở Apple Safari rất đơn giản:

  • Đóng Safari.
  • Xóa file khỏi thư mục: ~/Library/Cookies/HSTS.plist
  • Mở Safari.

Xóa khỏi Microsoft Internet Explorer và Microsoft Edge

Với các trình duyệt của Microsoft thì bạn không thể xóa miền khỏi bộ nhớ cache HSTS. Thao tác bạn có thể làm đó là tắt tạm thời HSTS trong Internet Explorer 11 và Windows 7, Windows 8.

Tổng kết về HTTP Strict Transport Security

Trên đây là những thông tin cơ bản về HTTP Strict Transport Security. Hy vọng với những gì chúng tôi cung cấp bạn sẽ hiểu rõ hơn về giao thức này để biết cách sử dụng nó hợp lý, hiệu quả.

Nếu còn gặp bất cứ vướng mắc gì về nội dung bài viết trên, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

Đăng ký Gmail Doanh Nghiệp tại BKHOST

BKHOST đang có chương trình khuyến mại cực tốt cho khách hàng đăng ký dịch vụ Gmail Tên Miền Riêng:

  • Giảm giá lên đến 20%.
  • Giá chỉ từ 495k/5 mail.
  • Dung lượng lên đến 30GB/user.

Đăng ký ngay:

google mail cho doanh nghiệp

Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
Bình luận

Thanh toán linh hoạt

Chúng tôi chấp nhận thanh toán như ATM, Visa, Internet Banking, Paypal, Baokim, Ngân lượng

Gọi ĐT tư vấn ngay
Chat ngay qua Zalo
Chat ngay qua Messenger