🔐
blog.cat.ssl

HSTS Strict-Transport-Security va preload list — Chrome va Firefox uchun to'liq qo'llanma

02.09.2035
← Barcha maqolalar

HTTPS sertifikatni o'rnatish saytni xavfsizlashtirish jarayonidagi birinchi qadamdir, lekin to'liq xavfsizlik uchun bu yetarli emas. Tajovuzkorlar foydalanuvchining HTTPS ga o'tish jarayonida ulanishni ushlab, uni HTTP ga qaytarib yuborish orqali ma'lumotlarni o'g'irlashi mumkin. Bu hujum SSL stripping deb ataladi va undan himoyalanish uchun HSTS (HTTP Strict Transport Security) texnologiyasi yaratilgan. Ushbu maqolada HSTS ni qanday to'g'ri sozlash va preload ro'yxatiga qo'shilish jarayonini batafsil ko'rib chiqamiz.

HSTS texnologiyasi qanday ishlaydi

HSTS — bu server tomonidan brauzerga yuboriladigan maxsus HTTP sarlavhasi bo'lib, "shu domenni keyin har doim faqat HTTPS orqali ochish" buyrug'ini beradi. Brauzer bu buyruqni qabul qilgach, max-age parametrida ko'rsatilgan vaqt davomida bu domenga hech qanday HTTP so'rovni yubormaydi. Hatto foydalanuvchi http:// deb manzilni qo'lda kiritsa ham, brauzer avtomatik HTTPS ga aylantiradi. Bu hujumchining "downgrade" hujumini imkonsiz qiladi.

HSTS sarlavhasini sozlash

HSTS ni yoqish uchun serverda quyidagi sarlavhani qo'shish kerak: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload. Bu yerda max-age 2 yilga teng sekundlarda ko'rsatilgan, includeSubDomains barcha subdomenlarga ham qoidani qo'llaydi, preload esa preload ro'yxati uchun ruxsat beradi. Apache da bu .htaccess yoki virtual host konfiguratsiyasida, Nginx da esa server blokida sozlanadi.

Preload ro'yxati nima

HSTS ning oddiy ishlashida bir kamchilik bor — birinchi marta saytga kirgan foydalanuvchi hali HSTS sarlavhasini olmagan bo'ladi va shu birinchi ulanish vaqtida hujumga uchrashi mumkin. Bu muammoni hal qilish uchun Google preload ro'yxati yaratdi. Bu ro'yxatdagi barcha domenlar brauzer kodi ichiga "hardcoded" qilib kiritilgan va brauzer hech qachon bu domenlarga HTTP so'rov yubormaydi, hatto birinchi marta kirayotganda ham.

Preload ro'yxatiga qo'shilish jarayoni

Domeningizni hstspreload.org saytida tekshirib, ariza yuborishingiz mumkin. Talablar qattiq: barcha subdomenlarda ham HTTPS bo'lishi, HSTS sarlavhasida max-age kamida 31536000 (1 yil), includeSubDomains va preload yorliqlari bo'lishi shart. Ariza tasdiqlangach, domen Chrome, Firefox, Safari, Edge va Operada keyingi versiya yangilanishida ro'yxatga qo'shiladi. Bu jarayon odatda 6-12 hafta davom etadi.

Preload ro'yxatidan chiqishning qiyinligi

Preload ro'yxatiga kirish oson, lekin undan chiqish juda qiyin. Agar siz HTTPS dan HTTP ga qaytmoqchi bo'lsangiz yoki domenni boshqa egaga sotmoqchi bo'lsangiz, preload ro'yxatidan chiqarish so'rovi 6-12 oy davom etadi. Shuning uchun preload ga qo'shilishdan oldin yaxshilab o'ylab ko'rish kerak. Saytning HTTPS bilan ishlashi 100% barqaror bo'lganligiga ishonch hosil qiling.

Sayt.uz amaliyot

Sayt.uz mijozlarining 18% HSTS yoqilgan, ulardan 6% preload ro'yxatida. Biz HSTS yoqishni har bir saytga tavsiya qilamiz, lekin preload ga qo'shilishni faqat barqaror loyihalar uchun maslahat beramiz. HSTS sozlash xizmati 60 000 so'm bir martalik, preload arizasi tayyorlash 150 000 so'm. Mijozlarimizning 99,4% i HSTS yoqilgach sertifikat bilan bog'liq hujumlardan to'liq himoyalangan.

O'xshash maqolalar

📱 SSL pinning: mobil ilovalarda MITM hujumlardan himoyaning eng samarali usuli 🤝 SSL handshake jarayoni: TLS muloqotining ichki mexanikasi va bosqichlari 🔓 HTTPS yashil qulf yo'qoldi: sabablar ro'yxati va bosqichma-bosqich tuzatish SSL sertifikat muddatini kuzatish: monitoring tizimlari va ogohlantirish xizmatlari
🌐 Til
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English