Google宣佈對其域名啓用HSTS協議(轉)

上週五，Google安全團隊宣佈他們已經對其域名Google.com採用了HSTS。

FreeBuf百科：什麼是HSTS？

HSTS表明HTTP Strict Transport Security，這是國際互聯網工程組織IETE正在推行的一種Web安全協議。HSTS的做用是強制客戶端（如瀏覽器）使用HTTPS與服務器建立鏈接，所以若是你訪問的網站啓用了HSTS，那麼瀏覽器將會記住這一標記，確保將來每次訪問該網站都會自動定向到HTTPS，不會在無心中訪問不安全的HTTP。

HSTS這個協議還能保護用戶的數據免受HTTPS降級攻擊（跳轉時直接降級爲HTTP）、中間人攻擊、SSL攻擊和Cookie劫持。這一協議被認爲是保護HTTPS鏈接免受SSL攻擊最好的方法，但這一協議尚未被大多數瀏覽器支持。

95%的Https網站沒有使用HSTS

去年三月份，Netcraft作了一項調查報告，報告顯示當前百分之95的服務器運行的HTTPS沒有正確地設置HSTS或是配置錯誤，以致於將HTTPS鏈接暴露於攻擊風險之中。而針對這些不安全的站點最容易的攻擊場景是 HTTPS 降級攻擊，攻擊者能夠選擇多種方式來迫使一個看起來安全的 HTTPS 鏈接根本不使用數據加密，以進行數據竊取。

爲了支持HSTS機制，谷歌方面作了不少的工做，包括解決混合內容(HTTPS頁面含有HTTP內容)，損壞的HREFs（超文本引用），以及重定向到HTTP。除此以外，谷歌還須要對一些遺留的服務進行更新。因爲谷歌的訪問量很大，安全問題更是重中之重，因此支持HSTS對於谷歌來講十分必要。谷歌表示在傳輸中加密數據有助於保護用戶及其數據安全。目前旗魚瀏覽器等主流瀏覽器都支持HSTS機制，所以只要網站支持https，針對HTTP的漏洞就愈來愈難以發揮做用。

谷歌的技術產品經理Jay Brown表示：

咱們對於實施HSTS是很激動的，在傳輸時加密數據能夠保護用戶數據的安全，咱們會在將來幾個月內將其擴展到更多的領域和谷歌產品當中。