help-header

انتقال امن HTTP به HTTPS به کمک پروتکل‌ HSTS

امروزه اهمیت استفاده از پروتکل های امن به اندازه‌ای است که حساسیت به استفاده از پروتکل HTTPS به جای HTTP در تراکنش‌های مالی و وارد کردن رمزهای عبور مهم بین کاربران نهادینه شده است. ابر آروان به راحتی و تنها با چند کلیک امکان استفاده از پروتکل امن را برای شما فراهم می کند. علاوه بر ارایه ساده پروتکل HTTPS، امکانات پیشرفته‌ی دیگری می‌توانند سرعت و امنیت این پروتکل را تقویت کنند.

در این راهنما به بررسی پروتکل HSTS می‌پردازیم. وظیفه‌ی اصلی این پروتکل انتقال امن وب‌سایت و کلیه لینک‌ها از پروتکل HTTP به HTTPS است. به کمک امکانات موجود در پنل کاربری ابر آروان، به‌سادگی می‌توانید تمام ویژگی‌های پیشرفته این پروتکل را فعال نمایید. برای اطلاع از شیوه‌ی انجام این تنظیمات، راهنمای تنظیمات HTTPS‌ در پنل کاربری ابر آروان را مطالعه کنید.

 

پروتکل HSTS

اغلب کاربران به‌شکل پیش فرض از طریق پروتکل HTTP به سرورها متصل می‌شوند. در شرایطی که استفاده از پروتکل امن اجباری باشد، باید این درخواست ها به صورت اتوماتیک به HTTPS تغییر مسیر دهند. استفاده از روش های عادی می تواند مخاطرات امنیتی بسیاری را به همراه داشته باشد. HTTP Strict Transport Security یا به‌شکل خلاصه HSTS

مجموعه سیاست‌های امنیتی است که به‌شکل امن به وب‌سایت‌ها اجازه می‌دهد تنها از طریق پروتکل HTTPS قابل دسترس باشند. این سیاست ها در یک‌وب سایت، از طریق ارسال یک Header به عنوان Strict-Transport-Security به کاربر اعلام می شود.

 

واکنش مرورگر به HSTS

پس از ارسال اولین درخواست توسط کاربر، سرور یک Header مانند نمونه‌ی زیر که سیاست‌های پروتکل HSTS را درون خود دارد، ارسال می‌کند.

Strict-Transport-Security: max-age=2628000; includeSubDomains;

به این معنی که این دامنه و کلیه‌ی زیر دامنه‌های آن تا ۲۶۲۸۰۰۰ ثانیه دیگر (۱ ماه) تنها از طریق پروتکل HTTPS قابل دسترس خواهند بود. در اینجا مرورگر ۲ کار مهم را انجام می دهد:

  • به‌شکل خودکار تمام لینک‌های غیر امن را به لینک‌های امن تغییر می‌دهد. برای مثال http://www.arvancloud.com به https://www.arvancloud.com تغییر می‌کند.
  • اگر مرورگر نتواند از امنیت لینک اطمینان حاصل کند، پیام خطایی نمایش داده می‌شود و اجازه دسترسی به وب‌سایت داده نخواهد شد.

 

HSTS دقیقا از چه مشکلات امنیتی جلوگیری می کند؟

  • حملات Man-in-the-Middle که می‌توانند به دلیل استفاده از پروتکل HTTP به‌وسیله‌ی کاربران رخ دهد.
  • وب‌سایت‌های HTTPS که به اشتباه برخی از لینک هایشان HTTP است.
  • حملات Man-in-the-Middle که از اشتباه کاربران در قبول Certificate های نامعتبر استفاده می کنند.

 

راه‌کار گوگل و Preload

فرض کنید یک کاربر با یک سیستم عامل جدید برای اولین بار و در یک محیط ناامن آدرس وب‌سایتی را در مرورگر وارد می‌کند. در همین اولین ارتباط و دریافت سیاست های امنیتی HSTS یک خطر امنیتی وجود دارد. گوگل برای پروژه کرومیوم تصمیم گرفت تا اسامی سایت هایی که باید همواره از طریق پروتکل HTTPS متصل شوند را Hardcode کند (اینجا را ببینید). البته شما نیز می توانید نام وب‌سایت خود را به این لیست اضافه کنید. کافی است از طریق این صفحه دامنه خود را وارد کنید. پیش از انجام این‌کار از داشتن شرایط زیر اطمینان حاصل کنید.

  • یک Certificate معتبر داشته باشید.
  • تمام ترافیک‌های HTTP را به HTTPS انتقال دهید.
  • تمام زیردامنه‌ها تنها از طریق HTTPS قابل دسترس باشند.
  • Header درستی جهت تنظیمات برای کاربران ارسال شود.

ابر آروان تمام این موارد را به‌شکل خودکار برای شما انجام می دهد. تنها کافی است که شما نام دامنه خود را به گوگل اعلام کنید. در حال حاضر جز گوگل کروم؛ فایرفاکس، اپرا، سافاری و به زودی مایکروسافت اینترنت اکسپلورر نیز از این لیست گوگل استفاده می کنند.

 

لیست مرورگران پشتیبانی کننده HSTS

  • گوگل کروم از نسخه 4.0.211.0
  • فایرفاکس از نسخه 4
  • اینترنت اکسپلورر 11 و مایکروسافت اج ( همزمان با سیستم عامل ویندوز 10)
  • اپرا از نسخه 12
  • سافاری از زمان ارائه سیستم عامل OS X Mavericks از ژانویه 2013