Злоумышленники могут взломать 95% соединений HTTPS

Поскольку администраторы серверов зачастую не устанавливают механизм HTTP Strict Transport Security (HSTS), значительная часть трафика через соединение HTTPS может быть скомпрометирована при помощи несложных атак. HSTS представляет собой поддерживаемую большинством браузеров политику безопасности. HSTS помогает веб-разработчикам защищать свои сервисы и их пользователей против атак типа «человек посередине», взлома файлов куки и т.д.

Согласно недавнему исследованию от Netcraft, 95% серверов с применением HTTPS либо неправильно устанавливают HSTS, или ошибки в конфигурации делают их уязвимыми перед вышеназванными атаками. Исследование Netcraft длилось три года и правильное использование HSTS оставалось на одном уровне. Это означает, что уровень осведомлённости веб-разработчиков о данной проблеме за это время не вырос.

Самый распространённый сценарий атак - заставить сайты либо не использовать шифрование вовсе, либо задействовать слабый сертификат. Среди таких сайтов много банковских и финансовых учреждений. При этом включается HSTS добавлением всего одной строки к конфигурации сервера:

Strict-Transport-Security: max-age=31536000;

Эта команда говорит браузерам обмениваться данными только через HTTPS. После даже при вводе в адресную строку http:// браузер автоматически меняет на https://.