ข่าว, บทความ, ไอที, ไฮไลท์

แนะนำวิธีการ Configuration HSTS Preload มาตรฐานการสื่อสารอินเทอร์เน็ตที่ควรรู้ ?

Posted on 20 กันยายน 202220 กันยายน 2022 by Super Admin

แนะนำวิธีการ Configuration HSTS Preload มาตรฐานการสื่อสารอินเทอร์เน็ตที่ควรรู้ ?

HTTP Strict Transport Security (HSTS) เป็นกลไกมาตรฐานการสื่อสารของ Internet Engineering Task Force (IETF) ตามเอกสาร RFC 6797 ในปี ค.ศ. 2012 ที่ถูกสร้างขึ้นเพื่อรักษาความมั่นคงเว็บไซต์ที่ทำงานผ่านเว็บเบราว์เซอร์ (Web Browser) โดยมีจุดประสงค์หลักคือป้องกันการถูกโจมตีด้วยวิธีแทรกกลางการสื่อสาร (Man In The Middle Attack) รูปแบบการทำงานโดยเซิร์ฟเวอร์ (Web Server) จะมีการตอบกลับ (Response) ในส่วนของ HTTP Header เมื่อเว็บเบราว์เซอร์ตรวจสอบพบ HTTP Header ชื่อ Strict-Transport-Security: max-age=31536000;includeSubDomains; preload เว็บเซิร์ฟเวอร์จะบังคับให้สื่อสารผ่านช่องทางการเข้ารหัส HTTPS เท่านั้น และเว็บเบราว์เซอร์จะปฏิเสธการเชื่อมต่อ HTTP ทั้งหมด ทำให้ HSTS มีประสิทธิภาพในการป้องกันการถูกโจมตีด้วยด้วยวิธีแทรกกลางการสื่อสาร เช่น SSL Stripping Attack ซึ่งเป็นเทคนิคที่นิยมในการโจมตี และปัจจุบันกลไก HSTS รองรับการทำงาน Browser หลักทุกตัวดังแสดงในภาพที่ 1

caniuse.com searchHSTS — ภาพที่ 1 เบราว์เซอร์ที่รองรับการทำงานกลไก HSTS Link: https://caniuse.com/?search=HSTS

การทำงานในเว็บเซิร์ฟเวอร์ HTTP Strict Transport Security

โดยทั่วไปเมื่อไคลเอนท์ (Client) ป้อน URL ในเว็บเบราว์เซอร์ (Web Browser) ตัวอย่าง เช่น www.example.com ในกรณีเช่นนี้เว็บเบราว์เซอร์จะอนุมานว่าไคลเอนท์ (Client) ต้องการที่ จะสื่อสารผ่านโพรโทคอล HTTP ในขั้นตอนนี้เอง HSTS จะทำงานโดยบังคับให้เว็บเซิร์ฟเวอร์ทำการเปลี่ยนเส้นทาง (301 Redirect) ชี้ไปยังโพรโทคอล HTTPS ลักษณะการทำงานดังแสดงในภาพที่ 2

hsts re — ภาพที่ 2 การทำงาน HTTP Strict Transport Security

แนะนำการ Configuration HSTS Preload

HSTS Preload ได้รับการดูแลในโครงการ Chromium ที่ถูกพัฒนาโดย Google มีเป้าหมายเพื่อสร้างกลไกต่าง ๆ ให้มีความมั่นคงปลอดภัยและมีเสถียรภาพในการใช้งาน ผู้ดูแลระบบตั้งค่า HTTP Header ให้เป็น Strict-Transport-Security: max-age=31536000;includeSubDomains; preload และนำโดเมนเนม (Domain Name) เข้าตรวจสอบและลงทะเบียนใช้งานได้ที่เว็บไซต์ hstspreload.org ดังแสดงภาพที่ 3

hsts 1 — ภาพที่ 3 ตรวจสอบโดเมนเพื่อลงทะเบียน HSTS Preload

หลังจากนำโดเมนเนมลงทะเบียนสำเร็จระบบจะแสดงสถานะบอกให้รู้ว่ามีการส่งไปยัง Preload List เพื่อเตรียมความพร้อมในการอัพโหลดเข้าฐานข้อมูล HSTS Preload ในเว็บเบราว์เซอร์ดังแสดงภาพที่ 4

hsts 2 — ภาพที่ 4 สถานะการส่งคำร้อง HSTS Preload ลงทะเบียนสำเร็จ

การลงทะเบียน HSTS Preload ที่สามารถป้องกันการถูกโจมตีได้ ต้องรอให้ Google ในโครงการ Chromium นำข้อมูลโดเมนอัพโหลดเข้าฐานข้อมูลเพื่อบรรจุลงในเบราว์เซอร์ (Browser) จึงจะสามารถทำงานได้อย่างสมบูรณ์ โดยสามารถเข้าเช็คสถานะดังกล่าวได้ที่ hstspreload.org ดังแสดงภาพที่ 5

hsts 3 — ภาพที่ 5 สถานะการทำงาน Preload HSTS

HSTS Preload ที่ได้รับการ Submission จะมีการฝั่งอยู่ที่เว็บเบราว์เซอร์สามารถเช็คข้อมูลได้ที่ Chromium HSTS Preload List: https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json