HTTP Strict Transport Security är standardiserat


JoWa
 Share

Recommended Posts

HTTP Strict Transport Security (HSTS) har av Internet Engineering Task Force (IETF) antagits som standarden RFC 6797, efter att ha varit ett utkast sedan 17 juni 2010. Standarden antogs den 2 oktober 2012, och publicerades den 19 november.

HSTS gör följande:

  • Tvingar krypterad anslutning (TLS eller SSL) till en server.
  • Blockerar osäkert (okrypterat) innehåll vid en för övrigt krypterad anslutning, utan möjlighet för användaren att tillåta det osäkra innehållet.
  • Blockerar anslutning till servrar med certifikatfel, utan möjlighet för användaren att ignorera varningen och fortsätta.

En begränsning är att webbläsaren inte vet att servern tillämpar HSTS för den aktuella domänen vid första anslutningen. Detta kan avhjälpas med en HSTS-lista som webbläsaren har tillgång till, och som försäkrar att krypterad anslutning används redan vid första anslutningen. En sådan lista underhålls av Google (”The Chromium Authors”), och används i både Chrome/Chromium och Firefox (17 och senare). Listan finns här. Användaren kan själv lägga till domäner, men inte ta bort eller ändra de domäner som Google har lagt till.

HSTS stöds för närvarande av Chromium, Firefox och Opera.

IETF: RFC 6797
Wikipedia: HTTP Strict Transport Security
Adam Langley: Living with HTTPS

Edited by JoWa
Link to comment
Share on other sites

En video som förklarar HSTS:

Där talas bl.a. om sidor där krypterad anslutning används vid inloggning, men där okrypterad anslutning används så snart inloggning genomförts, och vilka risker det för med sig. Exempel på detta är Yahoo! Mail.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share