{"id":16388,"date":"2023-08-08T09:44:00","date_gmt":"2023-08-08T07:44:00","guid":{"rendered":"https:\/\/www.lh.pl\/pomoc\/?p=16388"},"modified":"2023-07-28T17:31:11","modified_gmt":"2023-07-28T15:31:11","slug":"hsts","status":"publish","type":"post","link":"https:\/\/www.lh.pl\/pomoc\/hsts\/","title":{"rendered":"Co to jest HSTS?"},"content":{"rendered":"
\"hsts\"<\/figure>\n\n\n

HTTP Strict Transport Security<\/strong>, znane r\u00f3wnie\u017c jako HSTS, jest protoko\u0142em zabezpieczaj\u0105cym komunikacj\u0119 internetow\u0105 za pomoc\u0105 protoko\u0142u HTTPS<\/a>. Jego g\u0142\u00f3wnym celem jest zapewnienie dodatkowego poziomu bezpiecze\u0144stwa poprzez eliminacj\u0119 mo\u017cliwo\u015bci atak\u00f3w typu Man-in-the-Middle oraz wymuszenie korzystania z bezpiecznego po\u0142\u0105czenia w postaci HTTPS. <\/strong>W tym wpisie przyjrzymy si\u0119 bli\u017cej tematyce HSTS, zaczynaj\u0105c od og\u00f3lnej definicji, aby nast\u0119pnie zg\u0142\u0119bi\u0107 jego dzia\u0142anie i korzy\u015bci z jego wykorzystania.<\/p>\n\n\n\n\n\n\n\n

Nag\u0142\u00f3wek HSTS – Czym jest i do czego s\u0142u\u017cy?<\/h2>\n\n\n\n

Nag\u0142\u00f3wek HSTS (z ang. HTTP Strict Transport Security) to mechanizm zabezpiecze\u0144 stosowany w protokole HTTP, kt\u00f3ry ma kluczowe znaczenie dla zapewnienia bezpiecze\u0144stwa komunikacji internetowej. Jego g\u0142\u00f3wnym celem jest chronienie u\u017cytkownik\u00f3w przed atakami typu Man-in-the-Middle oraz wymuszenie korzystania z bezpiecznego po\u0142\u0105czenia za po\u015brednictwem protoko\u0142u HTTPS.<\/strong><\/p>\n\n\n\n

Definicja nag\u0142\u00f3wka HSTS<\/strong><\/h3>\n\n\n\n

W praktyce nag\u0142\u00f3wek HSTS jest specjalnym nag\u0142\u00f3wkiem HTTP, kt\u00f3ry jest wysy\u0142any przez serwer<\/a> do przegl\u0105darki klienta. Nag\u0142\u00f3wek ten zawiera informacje na temat strony internetowej, na kt\u00f3rej powinno by\u0107 stosowane wymuszone bezpieczne po\u0142\u0105czenie przez protok\u00f3\u0142 HTTPS. Dzi\u0119ki temu, kiedy u\u017cytkownik pr\u00f3buje odwiedzi\u0107 dan\u0105 stron\u0119, jego przegl\u0105darka automatycznie \u0142\u0105czy si\u0119 z ni\u0105 przez bezpieczne po\u0142\u0105czenie HTTPS, nawet je\u015bli u\u017cytkownik wpisa\u0142 adres strony z protoko\u0142em HTTP (niezabezpieczonym). To znacznie minimalizuje ryzyko atak\u00f3w i przechwycenia danych przez osoby trzecie.<\/p>\n\n\n\n

Jak dzia\u0142a HSTS? – Zasady dzia\u0142ania protoko\u0142u<\/h2>\n\n\n\n

HTTP Strict Transport Security (HSTS) jest stosunkowo prostym, ale bardzo skutecznym mechanizmem zabezpieczaj\u0105cym, kt\u00f3ry wprowadza pewne zasady dzia\u0142ania dla przegl\u0105darek internetowych w celu zapewnienia bezpiecznej komunikacji przez protok\u00f3\u0142 HTTPS. Poni\u017cej znajdziesz g\u0142\u00f3wne zasady dzia\u0142ania HSTS.<\/p>\n\n\n\n

Nag\u0142\u00f3wek HSTS i jego wysy\u0142anie<\/h3>\n\n\n\n

Aby rozpocz\u0105\u0107 korzystanie z HSTS, serwer musi wys\u0142a\u0107 odpowiedni nag\u0142\u00f3wek HTTP zawieraj\u0105cy informacje o zasadach bezpiecznego po\u0142\u0105czenia. Nag\u0142\u00f3wek ten zawiera g\u0142\u00f3wnie informacje o domenie, na kt\u00f3rej ma by\u0107 wymuszane stosowanie protoko\u0142u HTTPS. Serwer wysy\u0142a ten nag\u0142\u00f3wek jako cz\u0119\u015b\u0107 odpowiedzi HTTP podczas pierwszego po\u0142\u0105czenia z przegl\u0105dark\u0105 klienta.<\/p>\n\n\n\n

Zapisywanie informacji przez przegl\u0105dark\u0119<\/h3>\n\n\n\n

Gdy przegl\u0105darka otrzymuje nag\u0142\u00f3wek HSTS od serwera, zapisuje t\u0119 informacj\u0119 w swojej pami\u0119ci podr\u0119cznej na okre\u015blony czas, kt\u00f3ry jest nazywany „okresem wa\u017cno\u015bci”. W trakcie tego okresu przegl\u0105darka b\u0119dzie automatycznie korzysta\u0107 z protoko\u0142u HTTPS podczas pr\u00f3b dost\u0119pu do tej samej domeny.<\/p>\n\n\n\n

Wymuszanie protoko\u0142u HTTPS<\/h3>\n\n\n\n

W okresie wa\u017cno\u015bci nag\u0142\u00f3wka HSTS, przegl\u0105darka klienta b\u0119dzie automatycznie u\u017cywa\u0107 protoko\u0142u HTTPS do \u0142\u0105czenia si\u0119 z serwerem, nawet je\u015bli u\u017cytkownik wpisa\u0142 adres strony z protoko\u0142em HTTP. Oznacza to, \u017ce je\u015bli strona by\u0142a dost\u0119pna r\u00f3wnie\u017c przez zwyk\u0142e po\u0142\u0105czenie HTTP, to w trakcie okresu wa\u017cno\u015bci HSTS, przegl\u0105darka ju\u017c nie b\u0119dzie pr\u00f3bowa\u0107 \u0142\u0105czy\u0107 si\u0119 z ni\u0105 przez HTTP. To dzia\u0142a jak dodatkowa warstwa ochrony przed atakami typu Man-in-the-Middle i zapewnia, \u017ce wszystkie po\u0142\u0105czenia z dan\u0105 domen\u0105 odbywaj\u0105 si\u0119 tylko przez bezpieczne po\u0142\u0105czenie HTTPS.<\/p>\n\n\n\n

Zapewnienie bezpiecze\u0144stwa i sp\u00f3jno\u015bci<\/h3>\n\n\n\n

Dzi\u0119ki dzia\u0142aniu HSTS, u\u017cytkownicy s\u0105 chronieni przed potencjalnymi zagro\u017ceniami, takimi jak przechwycenie danych, ataki typu Man-in-the-Middle i inne formy cyberatak\u00f3w. Po\u0142\u0105czenia z serwerem s\u0105 sp\u00f3jne i zawsze odbywaj\u0105 si\u0119 przez protok\u00f3\u0142 HTTPS, co zwi\u0119ksza bezpiecze\u0144stwo i zaufanie do witryny.<\/p>\n\n\n\n

Zapobieganie omijaniu protoko\u0142u HTTPS<\/h3>\n\n\n\n

Co ciekawe po aktywowaniu nag\u0142\u00f3wka HSTS, przegl\u0105darka b\u0119dzie automatycznie korzysta\u0107 z HTTPS, nawet je\u015bli u\u017cytkownik wpisze adres zwyk\u0142ego po\u0142\u0105czenia HTTP. To jest istotne, poniewa\u017c pr\u00f3by omini\u0119cia protoko\u0142u HTTPS przez osoby trzecie, kt\u00f3re mog\u0105 pr\u00f3bowa\u0107 podszywa\u0107 si\u0119 pod dan\u0105 stron\u0119, zostan\u0105 skutecznie zablokowane przez przegl\u0105dark\u0119.<\/p>\n\n\n\n

Problemy z HSTS i ich rozwi\u0105zania<\/h2>\n\n\n\n

Mimo \u017ce HSTS jest skutecznym narz\u0119dziem zabezpieczaj\u0105cym, istniej\u0105 pewne potencjalne problemy, kt\u00f3re mog\u0105 wyst\u0105pi\u0107 w zwi\u0105zku z jego implementacj\u0105. Jednak wi\u0119kszo\u015b\u0107 z tych problem\u00f3w mo\u017cna \u0142atwo rozwi\u0105za\u0107, stosuj\u0105c odpowiednie praktyki i dbaj\u0105c o poprawn\u0105 konfiguracj\u0119.<\/p>\n\n\n\n

Problemy zgodno\u015bci i wspierania przez przegl\u0105darki<\/h3>\n\n\n\n

Niekt\u00f3re starsze przegl\u0105darki mog\u0105 nie wspiera\u0107 HSTS, co mo\u017ce prowadzi\u0107 do braku ochrony dla u\u017cytkownik\u00f3w korzystaj\u0105cych z tych przegl\u0105darek.<\/p>\n\n\n\n

Rozwi\u0105zanie:<\/strong> Przed aktywowaniem HSTS warto upewni\u0107 si\u0119, \u017ce wi\u0119kszo\u015b\u0107 popularnych przegl\u0105darek wspiera ten mechanizm, a tak\u017ce zastanowi\u0107 si\u0119 nad dostarczeniem komunikatu dla u\u017cytkownik\u00f3w korzystaj\u0105cych z przegl\u0105darek, kt\u00f3re go nie obs\u0142uguj\u0105, informuj\u0105c ich o korzy\u015bciach wynikaj\u0105cych z uaktualnienia przegl\u0105darki.<\/p>\n\n\n\n

Niepoprawna konfiguracja HSTS<\/h3>\n\n\n\n

B\u0142\u0119dna konfiguracja nag\u0142\u00f3wka HSTS mo\u017ce doprowadzi\u0107 do powa\u017cnych problem\u00f3w, takich jak niemo\u017cno\u015b\u0107 dost\u0119pu do strony przez u\u017cytkownik\u00f3w, kt\u00f3rzy wcze\u015bniej byli zablokowani przez HSTS.<\/p>\n\n\n\n

Rozwi\u0105zanie:<\/strong> Wa\u017cne jest, aby odpowiednio skonfigurowa\u0107 nag\u0142\u00f3wek HSTS i przetestowa\u0107 jego dzia\u0142anie przed wdro\u017ceniem. Zaleca si\u0119 r\u00f3wnie\u017c stosowanie kr\u00f3tkiego okresu wa\u017cno\u015bci nag\u0142\u00f3wka podczas pierwszej implementacji, aby unikn\u0105\u0107 d\u0142ugotrwa\u0142ych problem\u00f3w w przypadku nieprawid\u0142owej konfiguracji.<\/p>\n\n\n\n

Wymuszenie protoko\u0142u HTTPS przed aktywacj\u0105 HSTS<\/h3>\n\n\n\n

Je\u015bli witryna nie zosta\u0142a w pe\u0142ni skonfigurowana do obs\u0142ugi protoko\u0142u HTTPS przed aktywowaniem HSTS, u\u017cytkownicy mog\u0105 napotka\u0107 problemy z dost\u0119pem do strony.<\/p>\n\n\n\n

Rozwi\u0105zanie:<\/strong> Zaleca si\u0119 w\u0142\u0105czenie protoko\u0142u HTTPS na stronie przed aktywowaniem HSTS. Upewnij si\u0119, \u017ce certyfikat SSL zosta\u0142 poprawnie zainstalowany i dzia\u0142a bez zarzutu. W przeciwnym razie u\u017cytkownicy mog\u0105 napotka\u0107 ostrze\u017cenia o niebezpiecznym po\u0142\u0105czeniu lub by\u0107 ca\u0142kowicie zablokowani przez przegl\u0105darki.<\/p>\n\n\n\n

Problemy z przekierowaniami i subdomenami<\/h3>\n\n\n\n

B\u0142\u0119dne przekierowania, np. 301<\/a> i niepoprawne ustawienia dotycz\u0105ce subdomen mog\u0105 wp\u0142yn\u0105\u0107 na dzia\u0142anie HSTS, szczeg\u00f3lnie w przypadku korzystania z wielu subdomen.<\/p>\n\n\n\n

Rozwi\u0105zanie:<\/strong> Przy projektowaniu konfiguracji HSTS, nale\u017cy uwzgl\u0119dni\u0107 przekierowania i zachowanie dla r\u00f3\u017cnych subdomen. Mo\u017cna skorzysta\u0107 z preload listy HSTS, aby obj\u0105\u0107 ochron\u0105 wszystkie subdomeny, ale wymaga to dodatkowej konfiguracji.<\/p>\n\n\n\n

Wsparcie HSTS przez domeny pomocnicze<\/h3>\n\n\n\n

Je\u015bli witryna korzysta z zasob\u00f3w z innych domen (np. reklamy lub skrypty z zewn\u0119trznych serwer\u00f3w), a te domeny r\u00f3wnie\u017c wysy\u0142aj\u0105 nag\u0142\u00f3wek HSTS, mo\u017ce to wp\u0142yn\u0105\u0107 na dzia\u0142anie strony.<\/p>\n\n\n\n

Rozwi\u0105zanie:<\/strong> W przypadku korzystania z zasob\u00f3w z innych domen, nale\u017cy upewni\u0107 si\u0119, \u017ce te domeny nie wysy\u0142aj\u0105 nag\u0142\u00f3wka HSTS lub przemy\u015ble\u0107, czy faktycznie potrzebuj\u0105 wsparcia HSTS. Je\u015bli to mo\u017cliwe, skorzystaj z bezpo\u015brednich link\u00f3w do zasob\u00f3w lub u\u017cyj protoko\u0142u HTTPS r\u00f3wnie\u017c dla tych domen.<\/p>\n\n\n\n

W\u0142\u0105czanie HSTS i jego wp\u0142yw na przegl\u0105darki<\/h2>\n\n\n\n

W\u0142\u0105czenie HTTP Strict Transport Security (HSTS) na stronie internetowej wymaga odpowiedniej konfiguracji serwera – tak, by przegl\u0105darki klient\u00f3w mog\u0142y korzysta\u0107 z tego mechanizmu. Implementacja HSTS ma istotny wp\u0142yw na zachowanie przegl\u0105darek, zapewniaj\u0105c wi\u0119ksze bezpiecze\u0144stwo i u\u0142atwiaj\u0105c korzystanie z bezpiecznych po\u0142\u0105cze\u0144 za po\u015brednictwem protoko\u0142u HTTPS.<\/p>\n\n\n\n

Skonfigurowanie nag\u0142\u00f3wka HSTS<\/h3>\n\n\n\n

Aby w\u0142\u0105czy\u0107 HSTS, serwer musi odpowiednio skonfigurowa\u0107 nag\u0142\u00f3wek HTTP, kt\u00f3ry zostanie przes\u0142any do przegl\u0105darek klient\u00f3w w odpowiedzi na pierwsze \u017c\u0105danie. Nag\u0142\u00f3wek ten zawiera informacje, takie jak domena, okres wa\u017cno\u015bci oraz opcjonalne dyrektywy zwi\u0105zane z subdomenami. Przyk\u0142adowy nag\u0142\u00f3wek HSTS mo\u017ce wygl\u0105da\u0107 nast\u0119puj\u0105co:<\/p>\n\n\n\n

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload<\/code><\/code><\/pre>\n\n\n\n
Okres wa\u017cno\u015bci<\/h3>\n\n\n\n
Parametr max-age<\/strong> w nag\u0142\u00f3wku HSTS okre\u015bla czas, przez kt\u00f3ry przegl\u0105darka b\u0119dzie zapami\u0119tywa\u0107 wymaganie stosowania protoko\u0142u HTTPS dla danej domeny. W powy\u017cszym przyk\u0142adzie warto\u015b\u0107 31536000<\/strong> reprezentuje rok, czyli przegl\u0105darka b\u0119dzie korzysta\u0107 z bezpiecznego po\u0142\u0105czenia z dan\u0105 stron\u0105 przez najbli\u017cszy rok.<\/p>\n\n\n\n
Dyrektywy dla subdomen<\/h3>\n\n\n\n
Opcjonalna dyrektywa includeSubDomains<\/strong> wskazuje, czy HSTS ma r\u00f3wnie\u017c obejmowa\u0107 wszystkie subdomeny. Je\u015bli zostanie ustawiona, to wymuszone bezpieczne po\u0142\u0105czenie b\u0119dzie stosowane dla wszystkich subdomen danej domeny.<\/p>\n\n\n\n
HSTS Preload<\/h3>\n\n\n\n
Opcjonalna dyrektywa preload<\/strong> informuje przegl\u0105darki o tym, \u017ce domena powinna zosta\u0107 dodana do listy preload HSTS.<\/strong> Po dodaniu do tej listy, przegl\u0105darki b\u0119d\u0105 zawsze wymusza\u0107 po\u0142\u0105czenie HTTPS z t\u0105 domen\u0105, nawet je\u015bli nag\u0142\u00f3wek HSTS zosta\u0142by usuni\u0119ty lub mia\u0142by kr\u00f3tszy okres wa\u017cno\u015bci. Dodanie do listy preload HSTS wymaga spe\u0142nienia dodatkowych kryteri\u00f3w i jest zalecane tylko dla stron z pe\u0142nym wsparciem dla HTTPS.<\/p>\n\n\n\n
Wp\u0142yw na przegl\u0105darki<\/h2>\n\n\n\n
Po aktywowaniu HSTS na stronie, przegl\u0105darki klient\u00f3w b\u0119d\u0105 zapami\u0119tywa\u0107 i stosowa\u0107 zasady bezpiecznego po\u0142\u0105czenia przez protok\u00f3\u0142 HTTPS zgodnie z konfiguracj\u0105 nag\u0142\u00f3wka HSTS. W przypadku pr\u00f3by dost\u0119pu do witryny za pomoc\u0105 HTTP przegl\u0105darka automatycznie przekieruje u\u017cytkownika na bezpieczne po\u0142\u0105czenie HTTPS, aby zapewni\u0107 poufno\u015b\u0107 danych i zwi\u0119kszy\u0107 bezpiecze\u0144stwo po\u0142\u0105czenia.<\/p>\n\n\n\n
Je\u015bli przegl\u0105darka nie wspiera HSTS lub u\u017cytkownik korzysta z przegl\u0105darki, kt\u00f3ra nie obs\u0142uguje tego mechanizmu, strona b\u0119dzie w dalszym ci\u0105gu dost\u0119pna przez HTTP. Jednak wi\u0119kszo\u015b\u0107 nowoczesnych przegl\u0105darek wspiera HSTS, co sprawia, \u017ce jest ono powszechnie stosowane w celu zabezpieczenia komunikacji w internecie.<\/p>\n\n\n\n
W\u0142\u0105czenie HSTS na stronie ma kluczowe znaczenie dla zapewnienia bezpiecznej komunikacji i minimalizowania ryzyka atak\u00f3w typu Man-in-the-Middle. Prawid\u0142owo skonfigurowany HSTS wzmocni bezpiecze\u0144stwo witryny i zwi\u0119kszy zaufanie u\u017cytkownik\u00f3w, co jest szczeg\u00f3lnie istotne w dzisiejszym \u015brodowisku internetowym, gdzie ochrona danych i prywatno\u015bci jest priorytetem.<\/p>\n\n\n\n
HSTS Preload – Dodatkowe zabezpieczenia dla witryny<\/h2>\n\n\n\n
HSTS Preload to zaawansowany mechanizm zabezpiecze\u0144, kt\u00f3ry dostarcza dodatkow\u0105 ochron\u0119 dla witryny internetowej. Dzi\u0119ki dodaniu domeny do listy preload HSTS, przegl\u0105darki klient\u00f3w b\u0119d\u0105 zawsze wymusza\u0107 korzystanie z bezpiecznego po\u0142\u0105czenia przez protok\u00f3\u0142 HTTPS, nawet je\u015bli nag\u0142\u00f3wek HSTS zosta\u0142by usuni\u0119ty lub mia\u0142by kr\u00f3tszy okres wa\u017cno\u015bci. <\/p>\n\n\n\n
W\u0142\u0105czenie witryny do listy preload<\/h3>\n\n\n\n
Aby w\u0142\u0105czy\u0107 witryn\u0119 do listy preload HSTS, administrator serwera musi zg\u0142osi\u0107 swoj\u0105 domen\u0119 do odpowiedniego projektu, takiego jak HSTS Preload Lists<\/strong> w przegl\u0105darce Chrome lub HTTP Strict Transport Security (HSTS) Preload List<\/strong> w przegl\u0105darce Firefox. Istniej\u0105 r\u00f3wnie\u017c inne projekt, kt\u00f3re oferuj\u0105 mo\u017cliwo\u015b\u0107 zg\u0142aszania domen do listy preload HSTS.<\/p>\n\n\n\n
Weryfikacja i wymagania<\/h3>\n\n\n\n
Przed dodaniem domeny do listy preload, przegl\u0105darki przeprowadzaj\u0105 szczeg\u00f3\u0142ow\u0105 weryfikacj\u0119, aby upewni\u0107 si\u0119, \u017ce witryna spe\u0142nia okre\u015blone wymagania bezpiecze\u0144stwa. Przyk\u0142adowe wymagania to:<\/p>\n\n\n\n