Dajbych.net


Internet Explorer podporuje HTTP Strict Transport Security

, 4 minuty čtení

HTTP St­rict Trans­port Secu­rity (HSTS) po­sky­tuje sluš­nou obranu proti man-in-the-mi­d­dle úto­kům. Stačí, aby ser­ver po­slal ur­či­tou hla­vičku, a pro­hlí­žeč s ním bude na­va­zo­vat spo­jení pouze přes TLS. Ni­kde už pak ne­bude spo­jení, které by bylo nezašif­ro­vané a umožňovalo tak útoč­ní­kovi ovlá­dající sí­ťový pro­voz ne­vě­domky pře­smě­ro­vat uži­va­tele na pod­vod­nou stránku. Dnešní ak­tua­li­zace (3058515) při­dává pod­poru HSTS do In­ter­net Ex­plo­reru 11 pro Win­dows 7 a Win­dows 8.1.

Man-in-the-middle útok

Zís­kat uži­va­tel­ské jméno a heslo je pro útoč­níka ve­lice jed­no­duché, po­kud spo­jení není za­šif­ro­vané do­sta­tečně sil­nou šif­rou. Uži­va­tel musí své heslo po­slat ser­veru v ta­kové po­době, aby ho pře­četl pouze ser­ver, a musí mít jis­totu, že ho po­sílá právě tomu ser­veru, kte­rému si myslí, že ho po­sílá. Trans­port Layer Secu­rity (TLS) toto zjed­no­du­šuje na to, že si stačí ohlí­dat, aby byly v po­čítači na­in­stalované ko­ře­nové cer­ti­fi­káty pouze těch cer­ti­fi­kač­ních au­to­rit, kterým dů­vě­řujeme.

V sou­časné době je asi nej­větší sla­bi­nou fakt, že z dů­vodů zpětné kom­pa­ti­bi­lity je nej­prve na­vá­záno ne­za­šif­ro­vané spo­jení, které je poté pře­smě­ro­váno na spo­jení šif­ro­vané. Po­kud se útoč­ní­kovi po­vede ovlád­nout sí­ťový pro­voz (stačí, aby se uži­va­tel při­po­jil přes Wi-Fi, kterou útoč­ník ovládl), může toto pře­smě­ro­vání poupra­vit tak, aby uži­va­tele pře­smě­ro­val na svůj ser­ver. Poté už pouze stačí, aby do­sta­tečně na­po­do­bil we­bovou stránku, za kterou se vy­dává, a se­hnal si pro ni SSL cer­ti­fi­kát. Po­kud se to útoč­ní­kovi po­vede do­sta­tečně dobře na­to­lik, že uži­va­tel na první po­hled nic ne­po­zná a zadá do ta­kové stránky své při­hla­šo­vací údaje, po­skytl tím útoč­ní­kovi kon­t­rolu nad svým účtem. Uži­va­tel na­víc ne­musí nic poznat, pro­tože útoč­ník na­pro­gra­muje svou stránku tak, aby fun­go­vala jako proxy.

Obrana

Zra­ni­tel­nost se dá jed­no­duše vyře­šit tím, že bude veš­kerý pro­voz už od za­čátku šif­ro­vaný. To však není možné, pro­tože vět­šina we­bo­vých ser­verů TLS ne­pod­po­ruje. Ře­še­ním je dr­žet si údaje o tom, které stránky TLS pod­po­rují, a na­va­zo­vat rov­nou TLS spo­jení pouze s nimi.

Zna­lost pro­hlí­žeče o strán­kách, které TLS pod­po­rují, pra­mení ze dvou zdrojů. První zdroj je prostý se­znam ser­verů, které TLS pod­po­rují. Ten je zkom­pi­lo­vaný do zdro­jo­vých kódů hlav­ních pro­hlí­žečů. Není to zrovna aka­de­mický přístup, jeho funkč­nost však nelze po­přít.

Druhým způ­so­bem je (po pře­smě­ro­vání na TLS) po­slat kli­en­tovi tuto HTTP hla­vičku:

Strict-Transport-Security: max-age=15552000

Pa­ra­metr max-age značí dobu v sekun­dách, po kte­rou bude pro­hlí­žeč na­va­zo­vat spo­jení se ser­ve­rem výhradně přes TLS. Mi­ni­mální hod­nota je 10886400 (18 týdnů).

Podpora v Internet Exploreru a Microsoft Edge

Pod­pora HSTS v In­ter­net Ex­plo­reru byla ozná­mena 16. února pro In­ter­net Ex­plo­rer ve Win­dows 10 Tech­ni­cal Pre­view. HSTS pod­po­ruje jak In­ter­net Ex­plo­rer 11, tak i Micro­soft Edge (stále pod ozna­če­ním pro­jekt Spar­tan) ve Win­dows 10 In­si­der Pre­view. S červ­no­vými ak­tua­li­za­cemi při­byla tato pod­pora i pro In­ter­net Ex­plo­rer 10 ve Win­dows 7 a Win­dows 8.1.

Kde SSL certifikáty získat?

Mož­ností je spousta. Dobrou nabídku má na­pří­klad Start­Com, který nabízí cer­ti­fi­káty pro ne­ko­merční weby zdarma. Pro ko­merční weby má za­jí­ma­vou nabídku Sim­plia, která nabízí cer­ti­fi­kát za 297 Kč na 3 roky.