Google внедряет HSTS в своих доменах верхнего уровня

02.10.2017 | 16:20
Компания Google объявила на этой неделе, что введет обязательную поддержку HSTS во вверенных ей 45 доменах верхнего уровня.

HSTS (HTTP Strict Transport Security) представляет собой механизм, который принудительно устанавливает HTTPS-соединение между клиентом и веб-сервером. Это ключевой элемент стратегии полного шифрования Интернета.

Google является оператором множества новых доменов верхнего уровня и планирует постепенно развертывать в них HSTS, начиная с .foo и .dev.

«Использование HSTS на уровне домена верхнего уровня позволит обеспечить безопасность таких пространств имен по умолчанию», — написал Бeн Мак-Илвэйн (Ben McIlwain) в блоге Google по безопасности. Регистранты получат гарантированную защиту своего ресурса и пользователей, если просто выберут защищенный домен верхнего уровня под свой веб-сайт и сконфигурируют SSL-сертификат, не тратя время на добавление отдельных доменов или субдоменов в статический список сайтов HSTS».

Компания Google уже выполняет функции администратора реестра под названием Google Domains, который включает многие домены верхнего уровня, такие как .google, .eat, .how, .meme и .soy.

HSTS — это основной механизм безопасности связи, который не только гарантирует применение HTTPS во всех соединениях, даже если пользователь введет адрес HTTP, но и предотвращает перехват cookie-файлов и атаки даунгрейдом.

Такие атаки, как Logjam и Poodle, дают злоумышленникам возможность понизить уровень защиты SSL-подключения до состояния, которое им будет под силу взломать. Logjam, к примеру, позволяет снизить длину ключа до экспортного уровня, например с 2048 бит или более до 512 бит. Logjam ставит под удар значительную часть серверов VPN и SSH. В результате атакующий сможет прослушивать «безопасный» трафик на таких соединениях.

Poodle — более старый вид атаки, ориентированный на версию SSLv3, который позволяет злоумышленнику перехватывать трафик в открытом виде. Его разработали исследователи Google. Суть атаки в том, что когда не удается установить безопасное соединение, сервер возвращается к более старым протоколам, таким как SSLv3. Атакующий может спровоцировать неудачную попытку соединения через Poodle и форсировать более уязвимое к взлому SSLv3-подключение.

В августе 2016 года компания Google добавила механизм HSTS в домен google.com, чтобы защитить посетителей домена, которые переходят в него по HTTP-ссылкам. Внедрение HSTS обезопасило не только трафик, проходящий через поисковую систему Google, но и трафик других сервисов компании, использующих домен google.com, таких как Alerts, Analytics и Maps.
Google, HSTS
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код