• HSTS là gì? Preload list là gì? Hướng dẫn cấu hình HSTS cho Website trên Apache

  • Bạn có ý tưởng gì để hoàn thiện hơn VPSSIM, hãy chia sẻ ở đây nhé !

Bạn có ý tưởng gì để hoàn thiện hơn VPSSIM, hãy chia sẻ ở đây nhé !
 #3142  by ngocanhkiu
 13 Nov 2018 19:41
@síp oánh ngâm cứu cái này đi ^^

HSTS (HTTP Strict Transport Security) là một chính sách bảo mật cần thiết để bảo vệ các trang web bảo mật HTTPS chống lại các cuộc tấn công hạ cấp. HSTS đảm bảo rằng tất cả kết nối tới một website phải được mã hóa bằng giao thức HTTPS, và không bao giờ sử dụng giao thức HTTP.

HSTS hoạt động như thế nào?

HSTS là một hệ thống dựa trên thời gian. Nghĩa là trong khoảng thời gian bạn thiết lập trong max-age (tính bằng giây) sẽ đảm bảo rằng trang web của bạn được phục vụ qua giao thức HTTPS. Khuyên chọn max-age ít nhất 6 tháng (15552000 giây)

Khi trình duyệt tương tác với webserver đã bật HSTS, nó sẽ tìm một header đặc biệt nói rằng trình duyệt chỉ nên sử dụng giao thức HTTPS để kết nối với server.

Ngoài ra có một giá trị thời gian max-age liên kết với header trên cho phép trình duyệt biết chủ quản trị server muốn chắc chắn rằng trang web đó chỉ nên được truy cập thông qua HTTPS trong một thời gian định sẵn. Giá trị max-age nên là khoảng thời gian dài, ít nhất 6 tháng, hoặc có thể nhiều năm.

Khi trình duyệt đã truy cập vào trang web một lần và thấy header trên, trình duyệt sẽ nhớ rằng website này chỉ nên được truy cập thông qua HTTPS trong khoảng thời gian max-age.

Nếu vì một lý do gì đó bạn muốn reset các thiết lập HSTS được lưu trong Chrome cho domain của bạn. Vào chrome://net-internals/#hsts , nhập domain ở mục Query domain để kiểm tra hoặc xóa domain ở mục Delete domain

CÁCH THIẾT LẬP HSTS TRÊN APACHE
1. Enable module Headers trên Apache
Code: Select all
a2enmod headers
2. Thêm chỉ dẫn Header Strict-Transport-Security trong file virtual host:
Code: Select all
<VirtualHost *:443>
    #Using HTTP Strict Transport Security
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
</VirtualHost>
Trong đó:

Strict-Transport-Security: thông báo header phải được bảo mật
max-age: thời gian tính bằng giây để trình duyệt nhớ chỉ được qua truy cập qua https
includeSubDomains: Yêu cầu bảo mật cho tất cả subdomain
preload: yêu cầu lưu trên danh sách preload list (nên cân nhắc, xem bên dưới)

Sau đó bạn cần chuyển hướng tất cả trang http sang https trong virtual host như sau
Code: Select all
<VirtualHost *:80>
  ServerName example.com
  Redirect permanent / https://example.com/
Sau khi hoàn tất restart lại Apache
Code: Select all
service apache2 restart
Kiểm tra lại bằng trang web https://www.ssllabs.com/ssltest/, kết quả như bên dưới là OK

ĐĂNG KÝ WEBSITE VÀO HSTS PRELOAD LIST
HSTS Preload list là danh sách các website được chứng nhận bảo mật HSTS và được lưu cứng vào danh sách preload list trên các trình duyệt. Preload list sẽ đảm bảo website của bạn buộc người dùng chuyển đến trang bảo mật https ngay lần đầu tiên họ truy cập vào. Vì vậy bạn nên cân nhắc khi đăng ký preload list cho website của bạn, vì nó yêu cầu tất cả subdomain đều bật HSTS trong một thời gian dài, và nếu chẳng may 1 trong số đó lỗi trang https, thì sẽ rất mất nhiều thời gian (hàng tháng trời) để xóa website khỏi preload list.

Các yêu cầu để có thể đăng ký website vào HSTS Preload list:

Có một chứng chỉ bảo mật
Chuyển hướng HTTP tới HTTPS
Tất cả subdomain hỗ trợ HTTPS, bao gồm cả www.
Thời gian hết hạn (max-age) tối thiểu trong header HSTS là 18 tuần (10886400 giây)
Phải có chỉ dẫn includeSubdomains và preload


Cuối cùng, đợi kết quả chấp thuận sau khoảng vài tuần, sau đó, đợi vài tháng đến khi có bản cập nhật mới của Chrome, Firefox, Edge, domain của bạn sẽ nằm trong danh sách preload list của Google.

Đăng ký website vào HSTS Preload List tại trang https://hstspreload.org/
Hoặc xóa website khỏi HSTS Preload List tại trang: https://hstspreload.org/removal/

Xem thêm:
https://support.google.com/webmasters/a ... 3543?hl=vi

sưu tầm https://goo.gl/wME6iq
https://goo.gl/FWxam9
nguyenoanh liked this
Get 25 USD Free To USE VPSSIM
 #3150  by olalavui
 14 Nov 2018 09:14
Thực sự site nào làm TMĐT or brand tốt rồi thì đăng ký cái này ổn, còn nếu đang build chập chờn thì không nên bật.
Đã vào preload mà dính link http thường brower nó còn chặn không cho vào web ý chứ .... nên suy nghĩ kỹ trước nhé ae webmaster :D
nguyenoanh liked this
 #3151  by ngocanhkiu
 14 Nov 2018 11:38
olalavui wrote:Thực sự site nào làm TMĐT or brand tốt rồi thì đăng ký cái này ổn, còn nếu đang build chập chờn thì không nên bật.
Đã vào preload mà dính link http thường brower nó còn chặn không cho vào web ý chứ .... nên suy nghĩ kỹ trước nhé ae webmaster :D
Blog hay trang của mình quản lý, nên cũng control được cái link http & https
@nguyenoanh có công nghệ mới thì cứ ngâm cứu thui kaka
 #3152  by olalavui
 14 Nov 2018 15:13
@ngocanhkiu, hì HSTS k phải công nghệ gì mới cả :) có rất lâu rồi tại hồi ssl chưa phổ biến thì ít ae để ý or biết đến nó thôi :)
Get 25 USD Free To USE VPSSIM