HTTP Strict Transport Security (HSTS) poskytuje slušnou obranu proti man-in-the-middle útokům. Stačí, aby server poslal určitou hlavičku, a prohlížeč s ním bude navazovat spojení pouze přes TLS. Nikde už pak nebude spojení, které by bylo nezašifrované a umožňovalo tak útočníkovi ovládající síťový provoz nevědomky přesměrovat uživatele na podvodnou stránku. Dnešní aktualizace (3058515) přidává podporu HSTS do Internet Exploreru 11 pro Windows 7 a Windows 8.1.
Man-in-the-middle útok
Získat uživatelské jméno a heslo je pro útočníka velice jednoduché, pokud spojení není zašifrované dostatečně silnou šifrou. Uživatel musí své heslo poslat serveru v takové podobě, aby ho přečetl pouze server, a musí mít jistotu, že ho posílá právě tomu serveru, kterému si myslí, že ho posílá. Transport Layer Security (TLS) toto zjednodušuje na to, že si stačí ohlídat, aby byly v počítači nainstalované kořenové certifikáty pouze těch certifikačních autorit, kterým důvěřujeme.
V současné době je asi největší slabinou fakt, že z důvodů zpětné kompatibility je nejprve navázáno nezašifrované spojení, které je poté přesměrováno na spojení šifrované. Pokud se útočníkovi povede ovládnout síťový provoz (stačí, aby se uživatel připojil přes Wi-Fi, kterou útočník ovládl), může toto přesměrování poupravit tak, aby uživatele přesměroval na svůj server. Poté už pouze stačí, aby dostatečně napodobil webovou stránku, za kterou se vydává, a sehnal si pro ni SSL certifikát. Pokud se to útočníkovi povede dostatečně dobře natolik, že uživatel na první pohled nic nepozná a zadá do takové stránky své přihlašovací údaje, poskytl tím útočníkovi kontrolu nad svým účtem. Uživatel navíc nemusí nic poznat, protože útočník naprogramuje svou stránku tak, aby fungovala jako proxy.
Obrana
Zranitelnost se dá jednoduše vyřešit tím, že bude veškerý provoz už od začátku šifrovaný. To však není možné, protože většina webových serverů TLS nepodporuje. Řešením je držet si údaje o tom, které stránky TLS podporují, a navazovat rovnou TLS spojení pouze s nimi.
Znalost prohlížeče o stránkách, které TLS podporují, pramení ze dvou zdrojů. První zdroj je prostý seznam serverů, které TLS podporují. Ten je zkompilovaný do zdrojových kódů hlavních prohlížečů. Není to zrovna akademický přístup, jeho funkčnost však nelze popřít.
Druhým způsobem je (po přesměrování na TLS) poslat klientovi tuto HTTP hlavičku:
Strict-Transport-Security: max-age=15552000
Parametr max-age značí dobu v sekundách, po kterou bude prohlížeč navazovat spojení se serverem výhradně přes TLS. Minimální hodnota je 10886400 (18 týdnů).
Podpora v Internet Exploreru a Microsoft Edge
Podpora HSTS v Internet Exploreru byla oznámena 16. února pro Internet Explorer ve Windows 10 Technical Preview. HSTS podporuje jak Internet Explorer 11, tak i Microsoft Edge (stále pod označením projekt Spartan) ve Windows 10 Insider Preview. S červnovými aktualizacemi přibyla tato podpora i pro Internet Explorer 10 ve Windows 7 a Windows 8.1.
Kde SSL certifikáty získat?
Možností je spousta. Dobrou nabídku má například StartCom, který nabízí certifikáty pro nekomerční weby zdarma. Pro komerční weby má zajímavou nabídku Simplia, která nabízí certifikát za 297 Kč na 3 roky.