HSTS是英文HTTP Strict Transport Security (http严格传输安全)的缩写,这是一个征求意见版的RFC6797标准,意在制定一个标准,使得浏览器只能使用https协议访问某个网站。为此,谷歌还专门设置了一个HSTS预加载申请网站,用于用户提交域名以包含在谷歌浏览器的HSTS预加载列表中,这是一个硬编码到谷歌浏览器中的HTTPS 网站列表,大多数浏览器(Chrome,Firefox,Opera,Safari,IE 11和Edge)也使用基于谷歌浏览器的HSTS预加载列表。
HSTS是一个为了确保浏览器只使用https加密连接网站的安全措施,是对HTTP明文传输流量的零信任,得到了许多网站的支持。
美国联邦政府管理和预算办公室(OMB)于2022年1月26日正式发布了《联邦政府零信任战略》,以支持第14028号美国总统行政命令"改善国家的网络安全",以使联邦政府机构的网络安全架构适应零信任原则。
在“加密HTTP流量”部分,要求所有政府机构在所有互联网可访问的Web服务和API中都使用HTTPS,而为了确保政府网站都支持https加密,从2020年开始主流浏览器自动HSTS预加载所有新注册的.gov域名,并已宣布最终将整个美国政府专用.gov域名全部预置为仅限HTTPS访问,采取这个措施后,浏览器不会使用http协议访问,如果没有部署SSL证书实现https加密的话,网站就无法访问。
要实现强制https加密,用户只需在网站部署SSL证书时设置为自动把http访问跳转到https访问即可,并不需要把网站域名提交给HSTS预加载数据库。HSTS预加载由于是硬编码,不仅预加载列表会很长,而且新增加的网站域名必须在下次更新时才能生效,这是一个非常低效率的解决方案,但仍然是值得学习的解决方案。
为什么建议强制采用https访问政府网站?
为了保障我国政府网站的安全和保护政务机密信息的安全传输,也应该要求强制采用https访问.gov.cn域名的政府网站,所有.gov.cn域名的网站不能通过http访问,只能是https访问。这项强制措施完成后可以进一步要求只能采用SM2加密算法的https加密访问。当然,不一定必须采用HSTS的笨办法,我们可以有更高效的更简单的方法。
本文来源:零信任安全研究院
CnTrus数字认证,遵照《中华人民共和国电子签名法》《中华人民共和国密码法》等多部法律自主研发的数字认证根证书,支持国密和国际双算法,签发的根证书支持所有浏览器、服务器和移动终端。
自2011年开展互联网数字安全认证以来,应用覆盖政务、医疗、电商、教育、金融、电信、物流等多个领域,为50000+企事业单位互联网安全可信保驾护航,覆盖超10亿网民用户,目前已发展成为国内领先的数字认证服务品牌,是中国互联网安全认证行业龙头企业。
CnTrus数字认证中心的运营及技术支持单位为浙江葫芦娃数字认证有限公司,是国家高新技术企业、杭州市重大科技创新企业,通过公安部国家信息安全等级保护三级测评,获准国际ISO27001信息安全管理体系认证。