Http strict transport security hsts fix như thế nào

Cá chế của gao hức HTTP

HTTP là gao hức hờ kì đầu của các wbs, vì vậy mà hện nay HTTP luôn đứng rước nguy cơ ấn công. Hackr ễ àng xâm nhập vào các đường ruyền để hực hện các cuộc ấn công hạ cấp hoặc ận ụng các kỹ huậ khác để cướp cooks ăn rộm hông n. HTTPS đang được nhều ngườ sử ụng hơn bở đảm bảo hông n ruyền đ kh ngườ ùng ruy cập vào wbs đã được mã hoá.

Tho hống kê bở Wr hì có đến hơn nửa các wbs rên hế gớ sử ụng gao hức HTTPS. Vào những năm 2010, Googl cũng đã hử nghệm những gao hức bảo mậ mớ rên Gmal nhằm ìm ra phương hức bảo mậ mớ. Nhưng đến năm 2014, Googl đã công nhận và đặ hế nềm n vào HTTPS. Năm ngoá, Googl còn rở hành nhà à rợ bạch km của ịch vụ L’s Encryp nhằm cung cấp chứng chỉ SSL mễn phí cho các wbs.

Googl cũng ăng nhận hức lên ngườ ùng kh rình uyệ Chrom hển hị hông báo cho ngườ ùng những wb sử ụng HTTP là không an oàn bảo mậ. Tho đó, nhều oanh nghệp lớn đã chuyển sang HTTPS.

HTTPS là lựa chọn ố ưu ành cho wbs rong hờ đểm ăn cắp hông n ngườ ùng đang ngày càng cao. Gờ đây, Googl đang ến hành các bước ếp ho nhằm bảo đảm các kế nố đều an oàn bằng cách hực hện chính sách bảo mậ HSTS.

Cơ chế ả rước

HSTS là mộ hệ hống ựa rên hờ gan, nghĩa là rong khoảng hờ gan bạn hế lập rong max-ag (ính bằng gây) sẽ đảm bảo rằng rang wb của bạn được phục vụ qua gao hức HTTPS.

Kh rình uyệ ương ác vớ máy chủ wb đã bậ HSTS, cơ chế ả rước sẽ ìm mộ har đặc bệ nó rằng rình uyệ chỉ nên sử ụng gao hức HTTPS để kế nố vớ srvr.

Ngay cả kh ngườ ùng nhập vào mộ địa chỉ HTTP hì HSTS cũng sẽ ự động chuyển rang sang HTTPS rước kh ả. Thế lập này được hỗ rợ rên Chrom, Frfox, Safar, Inrn Explorr, Eg và Opra. Bn McIlwan, kỹ sư phần mềm của Googl Rgsry, cho rằng rằng “vệc sử ụng HSTS sẽ gúp đảm bảo an oàn mặc định cho mọ kế nố”.

Ngoà .googl, Googl còn hực hện HSTS cho các ên mền có đuô .how và .soy nhằm bán cho các công y hoặc cá nhân muốn hế lập rang wb của rêng họ. Các đuô khác như .as, .boo, .hr và .mm vẫn chưa được phá hành. Tuy nhên, vì Googl vốn quan âm đặc bệ về bảo mậ ở mức cao nhấ, hế nên mọ kế hoạch áp ụng HSTS cho các ên mền cao cấp khác cũng sẽ được húc đẩy sớm hô.

Quyế định ở ngườ ùng

HSTS uy ăng ính bảo mậ lên ố đa nhưng vẫn gặp những ranh cã: Ngườ ùng không hể ruy cập vào các rang wb HTTP mặc ù họ có nhu cầu và chấp nhận rủ ro? Vậy rả nghệm uyệ wb là của ngườ ùng hay của HSTS?

Kh HTTP đã rở nên lỗ hờ hì vệc Googl áp ụng HSTS để chuyển mọ rang wb rở về HTTPS là hợp lý. Gống như kh Mcrosof “kha ử” các phên bản cũ và lỗ hờ của Wnows, Googl cũng làm như vậy vớ HTTP.

Cơ chế ả rước của HSTS chỉ đơn gản hỗ rợ ngườ ùng bảo mậ wb, còn vệc sử ụng vẫn huộc về phía ngườ ùng.