Kích hoạt chính sách bảo mật HSTS để tối ưu hiệu quả của SSL

Kích hoạt chính sách bảo mật HSTS để tối ưu hiệu quả của SSL

Bạn cũng biết là ngày nay rất nhiều người dùng truy cập Internet từ các điểm wi-fi công cộng. Hacker có thể tận dụng lỗ hổng này, cùng truy cập qua điểm wi-fi và sniff (nghe lén lưu lượng thông tin) dữ liệu trao đổi giữa người dùng và bất kỳ trang website nào chỉ sử dụng phương pháp chuyển hướng 301 redirects để lái giao thức HTTP đến HTTPS. Cách tấn công hạ cấp giao thức này không chỉ lấy đi dữ liệu quan trọng giữa khách hàng và bạn mà tồi tệ hơn, hacker còn có thể tạo ra được một trang đăng nhập giả mạo. Do đó, Bluebits khuyến nghị bạn nên kích hoạt chính sách bảo mật HSTS để cường hóa hiệu quả của chứng thư SSL.

 

HSTS là gì và tại sao HSTS?

HSTS (HTTP Strict Transport Security) là một chính sách bảo mật cần thiết để bảo vệ các trang web bảo mật HTTPS chống lại các cuộc tấn công hạ cấp. HSTS đảm bảo rằng tất cả kết nối tới một website phải được mã hóa bằng giao thức HTTPS, và không bao giờ sử dụng giao thức HTTP.

Bạn không bao giờ ra khỏi nhà mà không khóa cửa, thậm chí bạn còn có camera để giám sát nhà mình. Dữ liệu cũng giống như tài sản quý giá trong nhà, vì vậy bạn cũng cần phải có cơ chế bảo vệ tương tự. Trang bị SSL là điều kiện cần, bạn phải kích hoạt thêm điều kiện đủ nữa. HSTS chính là điều kiện đủ, nó bắt buộc các kết nối thông qua trình duyệt và ứng dụng phải sử dụng giao thức HTTPS (nếu như website được trang bị SSL). Hãy nhớ rằng, phương pháp 301 redirects là không đủ, nó tạo ra một kẽ hở đủ lớn để tin tặc tấn công hạ cấp giao thức HTTPS. HSTS là một mối hàn bịt kín lỗ hổng đó.

Bạn có thể tham khảo cơ chế triển khai HSTS lại đây:

https://www.globalsign.com/en/blog/what-is-hsts-and-how-do-i-use-it/