广 告 位 招 租 QQ:527116945
当前位置: 首页 » SEO » seo » 正文

seo工程师

放大字体  缩小字体 发布日期:2022-05-24 02:34:08  来源:seo工程师  作者:mi  浏览次数:13
核心提示:seo工程师-HTTPS安全协议部署之HSTS头部署HSTS是英文HTTP Strict Transport Security的缩写,意思是国际互联网工程组织IETF正在

seo工程师-HTTPS安全协议部署之HSTS头部署

HSTS是英文HTTP Strict Transport Security的缩写,意思是国际互联网工程组织IETF正在推行一种新的Web安全协议。HSTS的作用主要是强制客户端,特别是浏览器使用HTTPS与服务器创建连接。今天转载百度百科对HSTS的名词解释,感兴趣的朋友可以多了解一下。

国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。比如,https://xxx 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向xxx或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http://xxx/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://xxx/ 发送请求。在接下来的一年中,如果 xxx 服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站

HSTS可以用来抵御SSL剥离攻击。SSL剥离攻击是中间人攻击的一种,由Moxie Marlinspike于2009年发明。他在当年的黑帽大会上发表的题为“New Tricks For Defeating SSL In Practice”的演讲中将这种攻击方式公开。SSL剥离的实施方法是阻止浏览器与服务器创建HTTPS连接。它的前提是用户很少直接在地址栏输入https://,用户总是通过点击链接或3xx重定向,从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://,达到阻止HTTPS的目的。

HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再允许忽略警告。

用户首次访问某网站是不受HSTS保护的。这是因为首次访问时,浏览器还未收到HSTS,所以仍有可能通过明文HTTP来访问。解决这个不足目前有两种方案,一是浏览器预置HSTS域名列表,Google Chrome、Firefox、Internet Explorer和Spartan实现了这一方案。二是将HSTS信息加入到域名系统记录中。但这需要保证DNS的安全性,也就是需要部署域名系统安全扩展。截至2014年这一方案没有大规模部署。

由于HSTS会在一定时间后失效(有效期由max-age指定),所以浏览器是否强制HSTS策略取决于当前系统时间。部分操作系统经常通过网络时间协议更新系统时间,如Ubuntu每次连接网络时,OS X Lion每隔9分钟会自动连接时间服务器。攻击者可以通过伪造NTP信息,设置错误时间来绕过HSTS。解决方法是认证NTP信息,或者禁止NTP大幅度增减时间。比如Windows 8每7天更新一次时间,并且要求每次NTP设置的时间与当前时间不得超过15小时。

支持的浏览器有:Chromium和Google Chrome从4.0.211.0版本开始支持HSTS

Firefox 4及以上版本

Opera 12及以上版本

Safari从OS X Mavericks起

Internet Explorer从Windows 10技术预览版开始支持,之后微软又向IE11用户推送了支持HSTS的更新。

seo工程师-SEO相关(1)

今天和朋友们分享一下HTTPS安全协议部署之HPKP头部署,本篇内容转载自百度安全指数,在网站安全方面的学习和理解也是seo优化当中比较重要的内容。这篇内容的正文部分如下:

HPKP作用

互联网的信任机制完全依赖于CA(证书颁发机构)厂商颁发的证书,而任意一个CA厂商都可以签发任意一个域名的证书,导致攻击者可以从CA厂商(可以参考CA厂商入侵史)开始入手。因此需要使用白名单的方式来选择信任的CA,公钥扎钉public key pinning技术的出现,可以允许你强制指定签发证书的CA,只有指定的CA为你的域名签发的证书才能使用。

目前该技术有三种实现方式,DANE(基于DNSSEC)、HTTP公钥扎钉和TACK(证书密钥可信保证),HTTP公钥钉扎是使用最多的。

HPKP部署

通过在加密的HTTP响应中包含

Public-Key-Pins 来实现公钥钉扎,例如:

全网部署

CA厂商入侵史

2001年1月,VerSign被社工欺骗签发了两张Microsoft Corporation代码签名证书用于在windows平台安装恶意软件。

2008年 6月,Thawte 被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,获得login.love.com的证书,而login.love.com是Microsoft的单点登陆验证中心,有几百万用户。

2008年10月,StartCom被安全研究人员Mike Zusman发现可以绕过其证书所有权验证流程,可以为任意域名申请证书,但由于他申请了paypal.com和verisign.com的证书触发了StartCom高危网站黑名单被发现了此次攻击并在几分钟之内吊销了所有非法签发的证书。

2008年10月,CertStart(Comodo丹麦合作伙伴)被StartCom的CEO&COO Eddy Nigg发现该中心可以在没有进行域名所有权验证的情况下给申请者签发任何域名的证书,他获得了startcom.org和mozilla.org的证书。

2008年,Alex Sotirov和Marc Stevens 通过使用MD5碰撞攻击(两张完全不一样的证书,但却拥有相同的MD5散列值,即相同的签名),使用自己伪造的CA证书来生成任何网站的有效证书,而RapidSSL由于签发过程完全自动化加上不是采用随机序列号导致整个攻击过程顺利实施,后续他们加速将SHA1升级到SHA256来修复这个问题。

2011年3月,Comodo多家合作签发机构被入侵,导致Comobo颁布除非过了Comodo的验证,否则所有代理商都不能够签发证书2011年6月,StartCom 被入侵,导致签发服务暂停长达一周。

2011年,DigiNotar(荷兰)被完全入侵,伪造的证书在互联网上被使用,导致DigiNotar的根证书被吊销,公司2011年9月份破产。

2011年11月,DigiCert Sdn. Bhd.(马来西亚一家与CyberTrust(Verizon)和Entrust有合作关系的中间证书颁发机构)被发现22张证书存在弱密钥问题,后续被吊销。

2012年5月,火焰病毒(flamer或Skywiper)针对Microsoft 的CA证书采用了MD5碰撞攻击来攻击windows update的代码签名机制,影响了整个中东网络。

2012年12月,TURKTRUST(土耳其)由于管理失误下发两张二级CA证书,其中一个被用于防火墙来进行中间人监控,而被google的扎钉扎技术发现。

2013年12月, ANSSI(法国的网络信息安全局)颁发的二级CA证书被用于该机构中间人监控设备中,而被google的钉扎技术发现并宣布吊销其签发的二级证书,并限制只能签发法国地区域名(.fr)的证书

2014年7月,NIC(印度国家信息中心)的二级CA(NICCA)被入侵,伪造签发了很多google和yahoo的域名证书,后续有问题的中间证书被吊销,该机构也被停止了证书签发,该机构的根证书机构被限制只能签发几个印度(.in)的子域名。

seo工程师-SEO相关(2)

之前和朋友们分享了一篇《提升网站安全的HTTPS协议安全部署策略解析》的内容,介绍了一下HTTPS安全部署的相关内容。今天的主题主要分享的是HTTPS安全部署之HSTS头部部署策略,正文部分转载自百度安全指数,内容如下:

HSTS作用

HTTP严格传输安全(HTTP Strict transport security,HSTS),配置浏览器对整个域名空间使用HTTPS来加密,它具备以下优点:

1. HSTS可以禁止浏览器使用无效证书(浏览器的默认策略是让用户决定是否放行,而用户往往因为不能区分无效是因为配置问题还是攻击而选择继续访问从而导致遭受网络攻击)

2. HSTS对以下情况可以仍然保持HTTPS通信:

用户保存了原始网站的书签

不安全的cookie

HTTPS 剥离攻击

网站内容混布,但需配合CSP(内容安全策略)

HSTS部署

通过在加密的HTTP响应中包含

Strict-Transport-Security头来实现网站HSTS,例如

最佳的部署方案是部署在离用户最近的位置,例如架构有前端反向代理和后端web服务器,在前端代理处配置HSTS是最好的,否则就需要在web服务器层配置HSTS。如果web服务器不明确支持HSTS,可以通过增加响应头的机制,但需要阅读各种服务器的附属细则。如果其他方法都失败了,可以在应用程序层增加HSTS。

Apache

#启用HTTP严格传输安全

#HSTS策略只能在加密通道的HTTP响应中进行设置,因此需要把http重定向到https,如果明文响应中允许设置HSTS头,中间人攻击者就可以通过在普通站点中注入HSTS信息来执行DoS攻击

IIS

第三方模块 http://hstsiis.codeplex.com/

Nginx

注意:addheader指令只会将HTTP头添加到非错误响应中(2xx和3xx)

更多部署方法请参考:https://linux.cn/article-5266-1.html

全网部署

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
 

关键词: seo工程师
 
推荐图文
最新热点文章