HSTS nedir?

HSTS nedir?

  • HSTS, HTTP Geçici Ulaşım Güvenliği’nin kısaltmasıdır
  • Bu, yalnızca alanınızdaki güvenli sayfaların bir tarayıcı tarafından gösterilmesini sağlayan bir güvenlik geliştirmesidir
  • HTTP isteklerini otomatik olarak hedef etki alanı için HTTPS’ye yönlendirir
  • Bir kullanıcının geçersiz sertifika mesajını geçersiz kılmasına izin vermiyor
  • Özel tepki başlığının kullanılması yoluyla etkinleştirildi
  • Alan adınızı listeleyerek tarayıcılarla önceden yüklenebilir

Düzgün bir şekilde uygulandığında, HSTS alanınızdaki güvenli olmayan sürümlerin ziyaret edilmesine izin vermeyecektir.

Ziyaretçilerin bir sayfanın güvensiz sürümünü (http: //) kullanmaya teşebbüsü otomatik olarak güvenli sürümüne (https: //) iletilecektir.

Temel olarak 301 yönlendirme gibidir, ancak web sayfası düzeyinden ziyade tarayıcı düzeyindedir. 301 yönergesinden üstün, yalnızca bir tarayıcı tarafından ilk kez görüldüğünde 301 yönlendirmeleri aslında güvensizdir, ancak her zaman yalnızca https kullanacak şekilde uygulanabilir.

HSTS nasıl uygulanır?

HSTS’yi güvenli hale getirmek için iki genel adım gerekir:

  • Sunucunuzda HSTS’yi etkinleştirin
  • HSTS’nin önceden yüklendiğinden emin olun

  1. Siteniz için hangi ayarların uygun olduğuna karar verin
  2. “Strict-Transport-Security” yanıt başlığını ekleyin

1. Ayarlarınızı yapın

HSTS’yi etkinleştirmek için ayarlayacağınız başlığın çok önemli bazı değişkenleri vardır.

Bu makalenin amacı, HSTS’yi nasıl tam olarak uygulayacağınızı açıklamaktır . Bunu yapmak için, Google tarafından hazırlanan ve diğer tarayıcılar tarafından kullanılan “önyükleme listesine” dahil olabilmeliyiz.

Bu listelerde yer alabilmek için belirli koşulların yerine getirilmesi gerekir. Bu koşullar siteniz için uygun olabilir veya olmayabilir. Aşağıda üç örnek senaryo bulunmaktadır:

En basit ayar / en az güvenlik:

Strict-Transport-Security: max-age=10886400

Yukarıdaki örnek, bu üst bilginin en basit sürümüdür.

  • En basit ayar / en az güvenli
  • Alt alanları etkilemez
  • Önceden yüklenmiş listelere dahil edilemiyor

Bu başlık HSTS’yi etkinleştirir, ancak bu ayarın Google tarafından sağlanan önyükleme listelerine dahil edilmenizi sağlayacak kadar güçlü olmadığını belirtmek gerekir. Önceden yükleme listelerine dahil değilseniz, sitenize gelen ilk trafik yine de güvensiz http’leri kullanabileceğinden siteniz tamamen güvenli olmayacaktır.

Daha güvenli – alt alanların HTTPS olmasını sağlar:

Strict-Transport-Security: max-age=10886400; includeSubDomains

Yukarıdaki örnek bu üst bilginin daha güvenli bir örneğidir.

  • Orta ayar / daha güvenli
  • Alt alanlar da HSTS olacaktır
  • Önceden yüklenmiş listelere dahil edilemiyor

Bu başlık, HSTS’yi etkinleştirir ve tüm alt alanları içerecektir, ancak yine de Google tarafından sağlanan önyükleme listelerine dahil edilmenizi sağlamak için yeterli değildir.

En güvenli – Önerilen ayar:

 

Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

Yukarıdaki örnek bu üst bilginin en güvenli halidir. Tavsiye edilen.

  • En güvenli
  • Alt alanlar da HSTS olacaktır
  • Önceden yükleme listelerine dahil edilebilir

Bu başlık Google tarafından sağlanan önyükleme listelerine eklenebilir.

Değişkenler

  • Strict-Transport-Security: – başlık bildirimi
  • Max-age = – başlığın canlı kalacağı süreyi saniye cinsinden
  • IncludeSubDomains – Bu, tüm alt alanlarda HSTS’yi gerektirir
  • Önyükleme – bu önyükleme listelerine dahil edilmek üzere yetkilendirmenizi verir

İstediğiniz ayarları bildikten sonra başlığı ekleyebilirsiniz …

2. HSTS’yi etkinleştirmek için Strict-Transport-Security başlığını ekleme

Strict-Transport-Security başlığı, herhangi bir başlığın eklendiği şekilde eklenir. Bazı yaygın senaryolar şunlardır:

.htaccess’i kullanarak HSTS’yi etkinleştir

Yapılandırmalarınız için .htaccess dosyası kullanıyorsanız, aşağıdaki kodu kullanarak HSTS eklenebilir:

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
</IfModule>

Önemli !: Yukarıdaki kod en güvenlidir ve HSTS önyükleme listesine dahil edilmesi için gerekli olan tüm gerekli öğelere sahiptir. Bu önerilen ayar tüm diğer örneklerde kullanılacaktır.

Apache’de HSTS’yi etkinleştir

Ssl’yi dinleyen virtualhost’a eklenmelidir (<VirtualHost xx.xx.xxx.xx: 443>)

Header always set Strict-Transport-Security "max-age=10886400; includeSubdomains; preload"

NGINX’te HSTS’yi etkinleştir

Sunucu bloğuna ssl’yi dinlemek için eklenmelidir (server {listen 443 …..})

add_header Strict-Transport-Security "max-age=10886400; includeSubdomains; preload"

IIS’de HSTS’yi Etkinleştir

HSTS, şartname uyarınca bir açık kaynak IIS modülü olarak uygulanmıştır

Litespeed’de HSTS’yi etkinleştir

HSTS’yi etkinleştirmek yukarıda açıklanan .htacess veya Apache yapılandırması kullanılarak başarılabilir. Yerel Litespeed yapılandırmasında etkinleştirmek için lütfen bu makaleye bakın .

HSTS sitenizde etkinleştirildiğinde sonra, almak gerekir önyükleme listesine (bu liste aynı zamanda diğer tarayıcılar tarafından da kullanılmaktadır) Chrome tarafından saklanan.

Bunu yapmak, sitenize ilk kez gelen ziyaretçilerin bile güvenli sayfalarınıza zorlanacağı anlamına gelir. Bir önyükleme listesindeyseniz, siteniz orta saldırılardan dolayı hala adamdan güvenli olmayacaktır.

HSTS ön kayıt listesine nasıl listelenirsiniz?

  1. Gereksinimleri karşıladığınızdan emin olun
  2. Alan adını önyükleme listesine girin
  3. Bekleyin

1. Şartları karşılayın

Geçerli bir sertifikanız olduğunu varsayarsak, yukarıdaki önerilen yapılandırmaları kullandıysanız, gereksinimleri muhtemelen karşılıyor olacaksınız. Belirtilen gerekler şunlardır:

  • Geçerli bir sertifikaya sahip ol.
  • Tüm HTTP trafiğini HTTPS’ye yeniden yönlendirin – yani sadece HTTPS olun.
  • HTTPS üzerinden tüm alt alanlara hizmet edin, özellikle bu alt alan için bir DNS kaydı varsa www alt alanı da dahil olmak üzere.
  • Ana alan adına bir HSTS başlığı sunun
  • Son kullanma tarihi en az on sekiz hafta (1088.6400 saniye) olmalıdır.
  • IncludeSubdomains belirteci belirtilmelidir.
  • Önyükleme belirteci belirtilmelidir.
  • Yönlendirme yapıyorsanız, yönlendirmenin yönlendirme yaptığı sayfa değil, HSTS başlığına sahip olması gerekir.

2. Alan adınızı listeye girin

Git önyükleme listesine ve alan adınızı girin.

Bir kez senaryonuza göre farklı yanıtlar alacaksınız. İhtiyaçları karşılamazsan, sana söyler. Eğer tham’la tanışırsanız, size de söyleyecektir.

Alan adınızı kabul ettikten sonra alan adınızın durumunu görmek için tekrar kontrol edebilirsiniz.

3. Bekle

Listeye girmek uzun bir süreçtir, haftalarca kabul edilmesini bekleyin, ardından aylarca Chrome / Firefox’un en yeni sürümlerine geçin.

İlerisini planlamak

Önümüzdeki birkaç ay içinde bir siteyi başlatmayı veya etki alanınızı değiştirmeyi planlıyorsanız, şu anda bu etki alanındaki bu işlemi başlatın.

 

Kısa Özet
Yayın Tarihi
Konunun Adı
HSTS nedir?
Verilen Puan
51star1star1star1star1star

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir