HSTS для сайта. Нужен или нет?

Владимир Савинков
Владимир Савинков

🖐Руководитель студии

Как работает HTST для сайта
Содержание

Если у вас есть сайт, то вы наверняка в курсе, что не так давно поисковик Google решил бороться за безопасность сайтов и давать приоритет тем, которые имеют SSL сертификат и загружаются по протоколу https, а не http. Затем к этому делу подключился и Яндекс, и теперь мы видим большинство сайтов, даже обычных блогов, именно по адресу, начинающемуся с https.

Действительно, сайты, имеющие сертификат SSL, передают зашифрованные данные по защищённому протоколу, и это значительно повышает их безопасность. Это просто необходимо для тех ресурсов, где проводятся какие-то платежи, да и просто происходит пересылка личных данных. Но и у этого протокола есть уязвимость. И технология HSTS для сайта помогает её если не перекрыть полностью, то значительно ограничить.

Что такое HSTS и как это работает

Уязвимость протокола https в том, что если пользователь случайно или намеренно впишет в браузер http, то он неизбежно попадёт на незащищённую страницу. Даже если на сайте есть правильно настроенное перенаправление, и его тут же перебросит на страницу с https, всё равно подключение по http состоится. Злоумышленники могут использовать этот факт, чтобы взломать сайт или перехватить некоторую информацию, ведь делать это можно неограниченное количество раз.

Алгоритм HSTS для сайта служит неким щитом. Он не может защитить первое подключение по протоколу http, но тут же сообщает браузеру пользователя, что на этот сайт можно заходить только по https. Браузер запоминает и в дальнейшем никогда не будет даже делать попыток перейти на этот сайт по протоколу http, автоматически заменяя протокол на https. Даже злоумышленник, вооружённый различными программами, сможет сделать лишь одну попытку подключения к сайту по незащищённому протоколу, после чего будет автоматически перенаправлен на защищённый.

Как работает HTST для сайта

Настроить HTST для сайта обычно можно на хостинге. На некоторых можно сделать это самостоятельно, на других придётся просить техподдержку, так как нужно настраивать конфигурацию сервера, а это далеко не везде разрешается.

У Google также имеется специальный сервис Preload List, В который можно добавить свой сайт с подключенной технологией HTST. После этого переход на защищённую версию происходит также и при самом первом заходе по http. Браузер ещё до этого сверяется со списком, и если нужный сайт в нём находится, то сразу использует протокол https, независимо от того, что вписал пользователь или какой указан в ссылке.

Нужен или нет HSTS для сайта

Казалось бы, алгоритм HTST для сайта всем хорош и его нужно обязательно использовать. Да, он хорош и защищает от разных неприятностей, которых можно ожидать от взлома незащищённого протокола. Но есть у него и некоторые недостатки:

  • Первое подключение по http остаётся незащищенным, если не добавить сайт в списки Preload List.
  • При внесении сайта в список защищённых на сервисе Preload List удаление происходит в течении нескольких месяцев, и сайт в это время не работает.

Поэтому могут возникнуть некоторые проблемы, если вы когда-нибудь захотите сменить протокол https обратно на http.

В целом, для большинства сайтов информационного направления и обычных блогов нужды в этом нет, особенно если они не особо популярны. Здесь нужно взвесить плюсы и минусы этого метода, и если усилить защиту всё-таки нужно, то можно использовать HTST.

Другое дело – интернет-магазины и подобные им сайты, где проводятся транзакции, вводятся номера банковских карт, и другая интересующая злоумышленников информация. Здесь подключение HSTS будет полезным.

Оставьте свои контакты

Мы перезвоним и обсудим Ваш вопрос