安全社区

上周五，Google安全团队宣布他们已经对其域名Google.com采用了HSTS。

FreeBuf百科：什么是HSTS？

HSTS代表HTTP Strict Transport Security，这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接，因此如果你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保未来每次访问该网站都会自动定向到HTTPS，不会在无意中访问不安全的HTTP。

HSTS这个协议还能保护用户的数据免受HTTPS降级攻击（跳转时直接降级为HTTP）、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS连接免受SSL攻击最好的方法，但这一协议还没有被大多数浏览器支持。

95%的Https网站没有使用HSTS

去年三月份，Netcraft做了一项调查报告，报告显示当前百分之95的服务器运行的HTTPS没有正确地设置HSTS或是配置错误，以至于将HTTPS连接暴露于攻击风险之中。而针对这些不安全的站点最容易的攻击场景是 HTTPS 降级攻击，攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密，以进行数据窃取。

为了支持HSTS机制，谷歌方面做了很多的工作，包括解决混合内容(HTTPS页面含有HTTP内容)，损坏的HREFs（超文本引用），以及重定向到HTTP。除此之外，谷歌还需要对一些遗留的服务进行更新。由于谷歌的访问量很大，安全问题更是重中之重，所以支持HSTS对于谷歌来说十分必要。谷歌表示在传输中加密数据有助于保护用户及其数据安全。目前旗鱼浏览器等主流浏览器都支持HSTS机制，因此只要网站支持https，针对HTTP的漏洞就越来越难以发挥作用。

谷歌的技术产品经理Jay Brown表示：

我们对于实施HSTS是很激动的，在传输时加密数据可以保护用户数据的安全，我们会在未来几个月内将其扩展到更多的领域和谷歌产品当中。