managed_services_ausfallsicher.jpg
Intares Subline

HSTS

Mit HSTS können Server Administratoren zum Beispiel dem HTTP-Server vorgeben, dass die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht werden können.

HTTP Strict Transport Security (HSTS) wurde als Internet-Standard im RFC 6797 (November 2012) veröffentlicht. Es dient als Schutz vor Man-in-the-Middle-Proxy SSLStrip Angriffen (Moxie Marlinspike). Der Angriff funktioniert nur als Man-in-the-Middle-Attacke. Der Angreifer muss es somit schaffen, die Verbindungen seines Opfers über seinen Proxy umzuleiten.

Besser wäre es, wenn die HSTS-Informationen im jeweiligen DNS hinterlegt wären und man sie über die DNS-Sicherung wie DNSSEC abfragen könnte.

Beispiel Server Side Absicherung (Apache):

<VirtualHost *:80>
ServerAlias *
RewriteEngine On
RewriteRule ˆ(.*)$ https://%{HTTP_HOST}$1[redirect=301]

</VirtualHost>

Die https Konfiguration benötigt folgende Ergänzung:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Damit wird eine permanente Umleitung des Apache Webservers erreicht und eine mögliche Man-in-the-Middle-Attacke abgewehrt. Für unterschiedliche Webserver sind in den diversen Foren und Wikis ausführliche Anleitungen zu finden.

Bei einem Test der Website z.B. mit ssllabs sollte die Zeile:

This server supports HTTP Strict Transport Security with long duration. Grade set to A+

zu finden sein.

Zusammen bieten DNSSEC, PFS und HSTS einen sehr guten Schutz gegen Ausspähung und Datenverlust an Dritte.


 
Intares Hamburg