Google宣布对其域名启用HSTS协议(转)

上周五，Google安全团队宣布他们已经对其域名Google.com采用了HSTS。

FreeBuf百科：什么是HSTS？

HSTS表明HTTP Strict Transport Security，这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的做用是强制客户端（如浏览器）使用HTTPS与服务器建立链接，所以若是你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保将来每次访问该网站都会自动定向到HTTPS，不会在无心中访问不安全的HTTP。

HSTS这个协议还能保护用户的数据免受HTTPS降级攻击（跳转时直接降级为HTTP）、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS链接免受SSL攻击最好的方法，但这一协议尚未被大多数浏览器支持。

95%的Https网站没有使用HSTS

去年三月份，Netcraft作了一项调查报告，报告显示当前百分之95的服务器运行的HTTPS没有正确地设置HSTS或是配置错误，以致于将HTTPS链接暴露于攻击风险之中。而针对这些不安全的站点最容易的攻击场景是 HTTPS 降级攻击，攻击者能够选择多种方式来迫使一个看起来安全的 HTTPS 链接根本不使用数据加密，以进行数据窃取。

为了支持HSTS机制，谷歌方面作了不少的工做，包括解决混合内容(HTTPS页面含有HTTP内容)，损坏的HREFs（超文本引用），以及重定向到HTTP。除此以外，谷歌还须要对一些遗留的服务进行更新。因为谷歌的访问量很大，安全问题更是重中之重，因此支持HSTS对于谷歌来讲十分必要。谷歌表示在传输中加密数据有助于保护用户及其数据安全。目前旗鱼浏览器等主流浏览器都支持HSTS机制，所以只要网站支持https，针对HTTP的漏洞就愈来愈难以发挥做用。

谷歌的技术产品经理Jay Brown表示：

咱们对于实施HSTS是很激动的，在传输时加密数据能够保护用户数据的安全，咱们会在将来几个月内将其扩展到更多的领域和谷歌产品当中。