Co je HSTS (HTTP Strict Transport Security)
HSTS (HTTP Strict Transport Security) je bezpečnostní mechanismus, který vynucuje používání zabezpečeného protokolu HTTPS místo nezabezpečeného HTTP. Pokud má web správně nastavené HSTS, prohlížeč se na něj bude vždy připojovat pouze přes HTTPS, a to i v případě, že uživatel zadá adresu bez „https“.
HSTS pomáhá chránit uživatele před útoky typu man-in-the-middle.
Jak HSTS funguje
HSTS je aktivováno pomocí speciální HTTP hlavičky, kterou server odešle prohlížeči. Hlavička obsahuje například:
- dobu, po kterou má být HTTPS vynuceno
- informaci, zda se má pravidlo vztahovat i na subdomény
Po obdržení této hlavičky si prohlížeč zapamatuje, že daná doména smí být navštěvována pouze přes HTTPS. Pokud se uživatel pokusí otevřít stránku přes HTTP, prohlížeč automaticky přesměruje spojení na HTTPS ještě před odesláním požadavku.
Proč je HSTS důležité
Bez HSTS může dojít k tzv. downgrade útoku, kdy je uživatel přesměrován na nezabezpečenou verzi webu. HSTS pomáhá:
- zabránit odposlechu komunikace
- chránit přihlašovací údaje
- zajistit šifrovaný přenos dat
- zvýšit důvěryhodnost webu
Je důležitou součástí bezpečnostní konfigurace moderních webů.
HSTS preload list
Některé domény mohou být zařazeny do tzv. HSTS preload listu, který je součástí prohlížečů. To znamená, že prohlížeč ví už před první návštěvou, že se má připojovat pouze přes HTTPS. Zařazení do preload seznamu vyžaduje splnění přísných podmínek, například dlouhou dobu platnosti HSTS a povinné použití HTTPS na všech subdoménách.
Rizika špatné konfigurace
Nesprávné nastavení HSTS může způsobit problémy s dostupností webu. Například:
- pokud vyprší SSL certifikát, uživatel se na web nemusí vůbec dostat
- při chybné konfiguraci subdomén může dojít k blokaci přístupu
Proto je důležité HSTS nasazovat až po důkladném otestování HTTPS konfigurace.