HSTS（HTTP 嚴格傳輸安全）

HSTS (HTTP Strict Transport Security，HTTP嚴格傳輸安全性) 是一種網路安全策略機制，強制瀏覽器與伺服器之間使用安全的HTTPS連接。此協議透過確保所有通信均透過加密的HTTPS進行，防範各種攻擊，包括協議降級攻擊和Cookie劫持。

瞭解HSTS：一項關鍵安全協議

HSTS是一個回應標頭，指示瀏覽器在指定時間內僅透過HTTPS與網站互動。一旦網站啟用HSTS，嘗試透過HTTP連接的使用者會無縫重新導向至HTTPS，無需伺服器在重新導向過程中進行干預。這顯著降低了在此過渡期間遭受攻擊的風險。

HSTS的主要特性：

• HTTPS 強制執行：保證所有與伺服器的連接均使用 HTTPS。
• 預載選項：某些網域可預載入瀏覽器，以便在初始連接建立前就強制實施 HSTS。
• 工作階段保護：防範惡意行為者攔截 Cookie 或敏感資訊。

了解 HSTS 的功能

1. 建立 HTTPS 連接：
   * 瀏覽器使用 HTTPS 啟動與網站的連接。
   * 作為回應，伺服器傳送 HSTS 標頭。

2. 標頭詳細資訊：
   * Strict-Transport-Security 標頭包含多個指令，包括政策應處於活躍狀態的持續時間（max-age）。

範例標頭：
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

3. 瀏覽器實現：
   * 收到標頭後，瀏覽器會保留指定 max-age 的指令。
   * 日後任何透過 HTTP 連接的嘗試都會被瀏覽器自動升級為 HTTPS。

4. HSTS 預載入：
   * 網站可被納入瀏覽器供應商維護的 HSTS 預載入清單，確保即使在首次造訪時也能建立安全連接。

HSTS 標頭實施的基本準則

1. max-age：
   * 定義瀏覽器必須強制使用 HTTPS 的時間段（以秒為單位）。
   * 範例：max-age=31536000（1 年）。
2. includeSubDomains：
   * 將 HTTPS 強制執行範圍擴展至網站的所有子網域。
   * 對於保護諸如 blog.example.com 或 shop.example.com 等多網域配置尤其有益。
3. preload：
   * 請求將網站加入 HSTS 預載入清單以增強安全性。

實施 HSTS 以增強安全性的優勢

1. 防禦協議降級攻擊

惡意行為者可能會試圖脅迫使用者透過HTTP而非HTTPS進行連線。HSTS透過禁止任何HTTP連線，有效阻止這些企圖。

2. 防止Cookie劫持

HSTS保證所有通訊均經過加密，從而保護Cookie和其他敏感資訊免受攻擊者攔截。

3. 增強使用者信心

HSTS透過強制使用安全連線並阻止中間人攻擊，增強使用者對網站安全性的信任。

4. 簡化安全瀏覽

一旦HSTS啟用，使用者會自動重新導向至HTTPS，無需任何手動操作。

實施HSTS的有效策略

1. 啟用HTTPS

確保您的網站配備HTTPS並擁有有效的SSL/TLS憑證。

2. 設定HSTS標頭

將您的網頁伺服器設定為在HTTPS回應中包含Strict-Transport-Security標頭。

Apache範例：

Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

Nginx範例：

add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always;

3. 測試設定

利用 SSL Labs 等工具確認您的 HSTS 實施效果。

4. 預載您的網域（選填）

為增強安全性，考慮將您的網域提交至 HSTS 預載清單。確保：

• max-age 設定至少為一年。
• 指令同時包含 includeSubDomains 和 preload。

了解 HSTS 的風險與限制

1. 首次造訪漏洞
   * HSTS 僅在第一個 HTTPS 連線建立後才會保護使用者。在此之前，他們仍容易受到潛在攻擊。
2. 意外鎖定
   * 設定錯誤的 HSTS 政策可能會無意中阻止使用者存取您的網站，尤其是當 HTTPS 憑證過期或子網域缺乏適當安全措施時。
3. 快取挑戰
   * 一旦瀏覽器將 HSTS 政策儲存在其快取中，任何僅限 HTTP 版本的網站將無法存取，直到政策過期或被手動清除。

增強安全性的基本 HSTS 最佳實踐

1. 在全域實施前進行初步測試
   * 從保守的 max-age 設定開始（例如 max-age=86400，即一天），以評估 HSTS 對您網站的影響。

2. 確保所有子網域的安全性
   * 實施 includeSubDomains 指令，以防範針對未受保護子網域的潛在威脅。

3. 保持 SSL/TLS 憑證為最新狀態
   * 持續更新您的 SSL/TLS 憑證，以防止因憑證過期而導致服務中斷。

4. 加入 HSTS 預載清單
   * 為增強長期安全性，考慮將您的網域提交至 HSTS 預載清單。

基本見解

HSTS 是確保使用者與網頁伺服器之間安全通訊的強大機制。透過實施 HSTS，組織可以增強使用者信任、防範各種網路威脅，並透過自動強制使用 HTTPS 連線來簡化瀏覽體驗。儘管它需要細心的設定和持續的維護，但 HSTS 仍是現代網路安全最佳實踐的基本要素，與 DICloak 對隱私和保護的承諾一致。

常見問題

什麼是 HSTS？

HSTS（HTTP Strict Transport Security，HTTP 嚴格傳輸安全）是一種網路安全協議，它強制使用 HTTPS 連線，有效防止協議降級攻擊並確保數據傳輸的安全性。

HSTS 如何增強安全性？

HSTS 保證瀏覽器始終透過 HTTPS 連接到網站，從而防範中間人攻擊、Cookie 劫持和協議降級。

啟用 HSTS 後可以停用嗎？

一旦瀏覽器收到 HSTS 策略，它將在指定的 max-age 期間內強制使用 HTTPS。要停用 HSTS，必須發送一個 max-age=0 的標頭；然而，快取的策略將一直有效，直到其過期。

所有瀏覽器都支援HSTS嗎？

大多數現代瀏覽器（包括Chrome、Firefox、Edge和Safari）都支援HSTS。舊版瀏覽器可能不會強制實施HSTS政策。

如果我的SSL/TLS憑證過期會發生什麼？

如果啟用HSTS的網站其SSL/TLS憑證過期，使用者將無法存取該網站，直到安裝有效的憑證為止。