多達 95% 的 HTTPS 鏈接能被黑客劫持

95% 的 HTTPS 連接處於風險中

據最近的 Netcraft study 報告數據顯示，當前多達 95% 的伺服器所運行的 HTTPS 沒有正確地設置 HSTS 或其它配置，以至於將 HTTPS 連接暴露於上述攻擊風險之中。

更值得注意的是，Netcraft 在三年前進行的同樣掃描，不正確配置的 HSTS 比例仍同現在一樣。這表明 Web 管理員們並沒有學會或被告知如何正確地設置 HSTS。

針對這些不安全的站點的最容易的攻擊場景是 HTTPS 降級攻擊，攻擊者可以選擇多種方式來迫使一個看起來安全的 HTTPS 連接根本不使用數據加密或使用更弱的演算法，這樣攻擊者就可以進行數據竊取了。

據安全研究人員稱，在這 95% 的沒有正確設置 HSTS 的站點中，有很多銀行和金融機構的網站。

你可以通過下面一行配置激活你的 HSTS

不需要費腦筋，你只需要將下述的一行配置添加到你的 HTTPS 伺服器配置中即可實現 HSTS。

Strict-Transport-Security: max-age=31536000;

這一行可以讓伺服器告訴瀏覽器僅通過 HTTPS 連接來訪問其內容，其策略有效期為長達一年的最大有效時間。

當上述配置生效後，即便用戶在他的瀏覽器中輸入 URL 時寫了 「http://」前綴，瀏覽器仍將會自動切換「https://」。

更多關於 HTTPS 及 HSTS 的技術實現細節，請參閱以下文章：

• 跑步進入全站 HTTPS ，這些經驗值得你看看
• 增強 nginx 的 SSL 安全性
• 如何配置使用 HTTP 嚴格傳輸安全（HSTS）
• 作為 HTTPS 的骨灰粉，怎麼可以不加入 HSTS 預載入列表
• 大型網站的 HTTPS 實踐（三）：基於協議和配置的優化
• SSL/TLS 加密新紀元 - Let's Encrypt

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive