Google впроваджує HSTS в своїх доменах верхнього рівня

02.10.2017 | 16:20
Компанія Google оголосила на цьому тижні, що введе обов'язкову підтримку HSTS у ввірених їй 45 доменах верхнього рівня.

HSTS (HTTP Strict Transport Security) являє собою механізм, який примусово встановлює HTTPS-з'єднання між клієнтом і веб-сервером. Це ключовий елемент стратегії повного шифрування Інтернету.

Google є оператором безлічі нових доменів верхнього рівня і планує поступово розгортати в них HSTS, починаючи з .foo і .dev.

«Використання HSTS на рівні домену верхнього рівня дозволить забезпечити безпеку таких просторів імен за замовчуванням», - написав Бeн Мак-Ілвейн (Ben McIlwain) в блозі Google з безпеки. Реєстранти отримають гарантований захист свого ресурсу і користувачів, якщо просто виберуть захищений домен верхнього рівня під свій веб-сайт і сконфігурує SSL-сертифікат, не витрачаючи час на додавання окремих доменів або субдоменів в статичний список сайтів HSTS».

Компанія Google вже виконує функції адміністратора реєстру під назвою Google Domains, який включає багато домени верхнього рівня, такі як .google, .eat, .how, .meme і .soy.

HSTS - це основний механізм безпеки зв'язку, який не тільки гарантує застосування HTTPS у всіх з'єднаннях, навіть якщо користувач введе адресу HTTP, а й запобігає перехоплення cookie-файлів і атаки даунгрейда.

Такі атаки, як Logjam і Poodle, дають зловмисникам можливість знизити рівень захисту SSL-підключення до стану, яке їм буде під силу зламати. Logjam, наприклад, дозволяє знизити довжину ключа до експортного рівня, наприклад з 2048 біт або більше до 512 біт. Logjam ставить під удар значну частину серверів VPN і SSH. В результаті атакуючий зможе прослуховувати «безпечний» трафік на таких з'єднаннях.

Poodle - старіший вид атаки, орієнтований на версію SSLv3, який дозволяє зловмисникові перехоплювати трафік у відкритому вигляді. Його розробили дослідники Google. Суть атаки в тому, що коли не вдається встановити безпечне з'єднання, сервер повертається до попередніх його протоколам, таким як SSLv3. Атакуючий може спровокувати невдалу спробу з'єднання через Poodle і форсувати більш вразливе до злому SSLv3-підключення.

У серпні 2016 року компанія Google додала механізм HSTS в домен google.com, щоб захистити відвідувачів домену, які переходять в нього по HTTP-посиланнях. Впровадження HSTS убезпечило не тільки трафік, що проходить через пошукову систему Google, але і трафік інших сервісів компанії, що використовують домен google.com, таких як Alerts, Analytics і Maps.
Google, HSTS
По матеріалам threatpost.ru
Стрічка новин: FacebookLiveJournalЯндекс

Коментарі (0)
Залиште коментар:Captchaвідновити код перевірки