در دنیای امروز که تهدیدات سایبری روز به روز پیچیده تر می شوند، امنیت وب سایت ها به یک ضرورت غیرقابل انکار تبدیل شده است. بسیاری تصور میکنند استفاده از HTTPS برای محافظت از داده ها کافی است، اما واقعیت چیز دیگری است. در همین جاست که فعال سازی پروتکل HSTS به عنوان یک راهکار هوشمندانه وارد عمل می شود. این پروتکل امنیتی می تواند از حملات متداول مانند SSL Stripping جلوگیری کرده و اتصال کاربران به سایت را همیشه از طریق HTTPS تضمین کند. اگر به دنبال ایجاد یک وب سایت امن، حرفه ای و مورد اعتماد هستید، آشنایی با HSTS برای شما ضروری است. در ادامه با ما همراه باشید تا با کاربردهای این پروتکل و نحوه فعال سازی آن به طور کامل آشنا شوید.
فهرست مطالب
- HSTS چیست؟
- چرا باید HSTS را فعال کنیم؟
- الزامات فعال سازی HSTS
- نحوه پیش بارگیری (Preload) پروتکل HSTS
- اضافه کردن دامنه به لیست پیش بارگذاری پروتکل HSTS
- راهنمای جامع پیادهسازی HSTS روی وب سرورهای محبوب
- آیا پروتکل HSTS کاملا ایمن است؟
- چطور یک دامنه را از کش HSTS مرورگر حذف کنیم؟
HSTS چیست؟
HSTS یا HTTP Strict Transport Security یک سیاست امنیتی است که توسط وب سایت ها به مرورگرها اعلام میکند تا تنها از طریق پروتکل HTTPS به آن ها دسترسی یابند. اینگونه نیز از برقراری هرگونه ارتباط نا امن جلوگیری می کند. این یعنی وقتی این پروتکل فعال باشد، مرورگر موظف می شود فقط از نسخه رمزنگاری شده وب سایت (HTTPS) استفاده کند و حتی اگر کاربر یا لینک های موجود در صفحات دیگر آدرس را با HTTP وارد کنند، مرورگر به صورت خودکار آن را به HTTPS تبدیل خواهد کرد.
HSTS نقش مهمی در حفظ یکپارچگی ارتباط بین مرورگر و وب سایت دارد و مانع از دخالت اشخاص ثالث در مسیر اتصال می شود. این ویژگی، به خصوص برای وب سایت هایی که داده های ورود، اطلاعات مالی یا فرم های حساس را پردازش میکنند، ضروری است. در اصل، HSTS به مرورگر آموزش می دهد که “این سایت فقط از طریق اتصال امن قابل دسترسی است” و این رفتار را تا مدت زمان مشخصی به خاطر می سپارد.
چرا باید HSTS را فعال کنیم؟
فعال سازی HSTS به دلایل متعددی توصیه می شود که مهم ترین آن ها به شرح زیر هستند:
- افزایش امنیت: با اجبار مرورگرها به استفاده از HTTPS ، از حملات فرد میانی جلوگیری می شود.
- حفظ حریم خصوصی کاربران: اطلاعات حساس کاربران در مسیر انتقال، رمزنگاری شده و از دسترسی غیرمجاز به آنها محافظت می شود.
- بهبود سئو: موتورهای جستجو به وب سایت های امن رتبه بهتری می دهند.
- افزایش اعتماد کاربران: نمایش قفل امنیتی در مرورگرها باعث اطمینان بیشتر کاربران به وب سایت می شود.
با توجه به این مزایا، فعال سازی HSTS یک گام مهم در جهت ارتقاء امنیت و اعتبار وب سایت است.
الزامات فعال سازی HSTS
برای اینکه فعال سازی HSTS به صورت مؤثر و بدون اختلال انجام شود، باید مجموعه ای از الزامات فنی را پیش از راه اندازی در نظر گرفت. رعایت این نکات نه تنها باعث عملکرد صحیح پروتکل می شود، بلکه احتمال بروز خطا یا عدم دسترسی کاربران به سایت را به حداقل می رساند.
- اولین پیش نیاز، فعال بودن HTTPS بر روی سایت است. مرورگرها تنها زمانی تنظیمات HSTS را می پذیرند که سایت از قبل دارای یک اتصال امن باشد. این اتصال باید پایدار و مداوم باقی بماند، چرا که در صورت قطعی HTTPS، کاربران امکان دسترسی به سایت را از دست خواهند داد.
- همچنین پس از راه اندازی HSTS، باید از اقداماتی که ممکن است این سیاست امنیتی را مختل کنند، خودداری کرد. برای مثال نباید رکوردهای DNS را از حالت Proxied به DNS only تغییر داد، از هدایت ترافیک به HTTP پرهیز کرد و نباید سرویس SSL را غیرفعال نمود.
- همچنین باید این موضوع را به خاطر داشته باشید که برای راه اندازی HTTPS و ورود به مراحل فعال سازی HSTS، استفاده از گواهینامه SSL ضروری است.
نحوه پیش بارگیری (Preload) پروتکل HSTS
پیش بارگیری HSTS فرآیندی است که در آن دامنه شما به لیست پیش بارگذاری مرورگرها اضافه می شود. این لیست توسط مرورگرهایی مانند Chrome و Firefox استفاده می شود تا از اولین بازدید، اتصال فقط از طریق HTTPS برقرار شود. برای پیش بارگیری باید طبق مراحل زیر پیش بروید:
- اطمینان حاصل کنید که HSTS با پارامترهای
max-age=63072000; includeSubDomains; preloadتنظیم شده است. - وب سایت خود را در hstspreload ثبت کنید.
- منتظر بررسی و تأیید توسط تیم مرورگرها باشید.
با انجام این مراحل، دامنه شما در لیست پیش بارگذاری قرار میگیرد و امنیت بیشتری برای کاربران فراهم می شود.
اضافه کردن دامنه به لیست پیش بارگذاری پروتکل HSTS
برای افزودن دامنه به لیست پیش بارگذاری HSTS ، مراحل زیر را دنبال کنید:
- تنظیم هدر HSTS: اطمینان حاصل کنید که هدر
Strict-Transport-Securityبا پارامترهایmax-age=63072000; includeSubDomains; preloadبه درستی تنظیم شده است. - تأیید گواهی SSL: دامنه باید دارای گواهی نامه SSL معتبر باشد.
- ثبت دامنه: به وب سایت hstspreload مراجعه کرده و دامنه خود را ثبت کنید.
- بررسی و تأیید: منتظر بررسی و تأیید توسط تیم مرورگرها باشید.
پس از تأیید، دامنه شما به لیست پیش بارگذاری اضافه می شود و مرورگرها از اولین بازدید، اتصال را فقط از طریق HTTPS برقرار میکنند.
راهنمای جامع پیادهسازی HSTS روی وب سرورهای محبوب
برای نصب HSTS بر روی وب سایت، بسته به نوع وب سرور، مراحل زیر را می توانید دنبال کنید:
در Apache یا LiteSpeed:
- فایل
.htaccessرا در ریشه وب سایت باز کنید. - کد زیر را اضافه کنید:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"در Nginx:
- فایل پیکربندی Nginx را باز کنید.
- در بخش
serverکد زیر را اضافه کنید:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;پس از اعمال تغییرات، وب سرور را مجدداً راه اندازی کنید تا تنظیمات اعمال شوند.
در وب سرور IIS مایکروسافت:
- در محیطهای ویندوزی، می توانید فایل web.config (جایگزین htaccess) را برای پیکر بندی ویرایش کنید.
- برای IIS 7.0 و بالاتر در ادام که یک نمونه پیکربندی فایل web.config را قرار داده ایم که به کمک آن ریدایرکتی امن از HTTP به HTTPS با فعال سازی HSTS برای HTTPS انجام میشود.
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>توجه: استفاده از گواهیهای SSL نامعتبر، HSTS را بیاثر میکند، در این صورت هکرها میتوانند با جعل گواهی، دادههای حساس مانند اطلاعات بانکی کاربران را به سرقت ببرند.
آیا پروتکل HSTS کاملا ایمن است؟
با اینکه پروتکل HSTS یکی از ابزارهای قدرتمند در افزایش امنیت ارتباط بین مرورگر و وب سایت است، اما نمی توان آن را کاملاً بی نقص دانست. این فناوری تنها ارتباط مرورگر با سرور را از طریق HTTPS تضمین میکند، ولی نمی تواند همه تهدیدات امنیتی را پوشش دهد.
یکی از محدودیت های HSTS این است که وابسته به مرورگر است. اگر کاربر از مرورگری قدیمی استفاده کند یا مرورگر از HSTS پشتیبانی نکند، این قابلیت عملاً غیرفعال خواهد بود. همچنین اگر دامنه در لیست پیش بارگذاری مرورگرها ثبت نشده باشد، اولین بازدید همچنان ممکن است از طریق HTTP انجام شود که می تواند فرصتی برای حملات ایجاد کند.
به طور کلی باید توجه داشت که HSTS تنها بخشی از یک استراتژی امنیتی گسترده است. این پروتکل نمی تواند به تنهایی امنیت سایت را به طور کامل تضمین کند، اما در کنار دیگر اقدامات امنیتی، به شکل مؤثری سطح ایمنی را افزایش می دهد. به همین دلیل، فعال سازی HSTS اگر با آگاهی و بررسی کامل انجام شود، اقدامی کاملاً مفید خواهد بود.
چطور یک دامنه را از کش HSTS مرورگر حذف کنیم؟
در صورت نیاز به حذف تنظیمات HSTS از مرورگر، مراحل زیر را دنبال کنید:
در Google Chrome:
- آدرس
chrome://net-internals/#hstsرا در نوار آدرس وارد کنید. - در بخش “Delete domain security policies”، نام دامنه را وارد کرده و روی “Delete” کلیک کنید.
در Mozilla Firefox:
- آدرس
about:configرا در نوار آدرس وارد کنید. - هشدار را پذیرفته و در بخش جستجو،
hstsرا وارد کنید. - مقادیر مرتبط را یافته و تنظیمات را به حالت پیش فرض بازگردانید.
توجه داشته باشید که اگر دامنه در لیست پیش بارگذاری باشد، حذف کش مرورگر تأثیری نخواهد داشت و باید به صورت رسمی، درخواست حذف از لیست را ارائه دهید. با رعایت این نکات و مراحل، می توانید به صورت مؤثر و ایمن، پروتکل HSTS را بر روی وب سایت خود پیاده سازی کرده و از مزایای آن بهره مند شوید.
