Skip to main content

HSTS (HTTP Strict Transport Security)

Wat betekent HSTS (HTTP Strict Transport Security)?

Op het internet is het nog steeds gebruikelijk om gecodeerde en niet-gecodeerde verbindingen via het Hypertext Transport Protocol (HTTP) te gebruiken. HSTS kan het gebruik van de gecodeerde verbinding afdwingen. Het biedt echter ook andere beveiligingsmechanismen.

Waartegen het beschermt HTTP Strict Transport Security

HTTP Strict Transport Security biedt bescherming tegen verschillende aanvalsscenario’s:

  • Omleiding naar niet-versleutelde pagina’s: In een gecodeerde webpagina kunnen links zijn opgenomen die naar niet-gecodeerde pagina’s verwijzen. Als HSTS geactiveerd is, worden alleen oproepen naar gecodeerde pagina’s geaccepteerd.
  • Downgrade-aanvallen: Er worden verschillende versies van het encryptieprotocol SSL/TLS gebruikt om neerwaartse compatibiliteit te garanderen. HSTS voorkomt dat aanvallers downgraden naar oudere versies die kwetsbaarder kunnen zijn voor aanvallen.
  • Sessiekaping: Door certificaten te gebruiken voor versleutelde verbindingen, is het voor aanvallers moeilijker sessies te “kapen”. De verbinding is gebaseerd op certificaten die fundamenteel beveiligd zijn tegen vervalsing.

Hoe werkt HSTS?

Op de webserver wordt in een configuratiebestand gespecificeerd dat de verbinding alleen in gecodeerde vorm tot stand mag worden gebracht. Nadat de Client zijn verzoek heeft gedaan, antwoordt de server met een overeenkomstige vermelding in de responsheader.

Voorbeeld

Een voorbeeldregel zou kunnen zijn: “Strict-Transport-Security: max-age=15768000 ;
includeSubDomains”.

De specificatie na het item “max-age” beschrijft de tijdsperiode in seconden waarin alleen versleutelde verbindingen zijn toegestaan. De toevoeging “includeSubDomains” betekent dat dit ook geldt voor subdomeinen van de website.
Het probleem dat deze vermelding pas van kracht wordt na de eerste aanroep wordt tegengegaan door voorlaadlijsten. Via Google, in haar Chromium project, werd de mogelijkheid gecreëerd voor website beheerders om hun domein te registreren. Webbrowsers kunnen pagina’s vergelijken die met behulp van de lijst worden opgeroepen. Als zij het overeenkomstige item vinden, wordt HSTS geactiveerd bij de eerste keer dat een verbinding tot stand wordt gebracht.

YouTube

By loading the video, you agree to YouTube’s privacy policy.
Learn more

Load video

FAQs

HSTS wordt nu als standaard beschouwd. Alle gangbare browsers, zoals Firefox, Microsoft Edge, Google Chrome en Safari, ondersteunen standaard HSTS . In Firefox, bijvoorbeeld, kan het alleen worden uitgeschakeld door handmatig de regel network.stricttransportsecurity.preloadlist in het menu about:config te wijzigen.
Door een overeenkomstig item in het configuratiebestand van de webserver op te nemen. Onder Apache, bijvoorbeeld, is dit het bestand /etc/apache2/httpd.conf. Daar, in de VirtualHost sectie, moet een item volgens het patroon Header always set Strict-Transport-Security: max-age=[duur in seconden] ; includeSubDomains worden ingevoegd. Gehoste websites hebben meestal een instellingsoptie hiervoor in het beheermenu.
Er is kritiek dat HSTS kan worden misbruikt voor het volgen van websitebezoekers. Daartoe worden aan elke oproeper individuele waarden in plaats van standaardwaarden gezonden. Aangezien HSTS normaal gesproken niet kan worden gedeactiveerd en zelfs in de privémodus van een browser functioneert, blijft deze waarde in de browser totdat hij handmatig wordt verwijderd.

Verdere links


Heeft u nog vragen?

Neem contact met ons op


Verdere inhoud