image

"Microsoft moet HSTS aan IE9 toevoegen"

vrijdag 25 maart 2011, 10:49 door Redactie, 4 reacties

Zowel Microsoft Internet Explorer 9 als Apple Safari ondersteunen geen HTTP Strict Transport Security (HSTS), wat internetgebruikers onnodig risico laat lopen. HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn, ook alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in een verzoek voor HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd.

Voorstel
Daarnaast zorgt HSTS ervoor dat gebruikers certificaatwaarschuwingen, bijvoorbeeld in het geval van een man-in-the-middle-aanval, niet meer kunnen negeren. Websites kunnen dit instellen, om zo hun klanten of gebruikers te beschermen. Teveel gebruikers hebben de neiging om allerlei waarschuwingen te negeren of weg te klikken, zegt Chester Wisniewski van Sophos.

Hij merkt op dat HSTS nog geen volwaardige standaard is. Toch hoopt hij dat Microsoft en Apple het voorstel zo snel als mogelijk zullen implementeren, zodat bijna alle internetgebruikers hierdoor beschermd zijn. Firefox 4 en Google Chrome ondersteunen HSTS al.

Reacties (4)
25-03-2011, 14:01 door Anoniem
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Als alle websites nu even dit in hun .htaccess zetten...
25-03-2011, 15:40 door Anoniem
Door Anoniem: RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Als alle websites nu even dit in hun .htaccess zetten...

Waarbij je er even bijzonder simpel vanuit gaat dat iedereen op Apache of Tomcat host?
25-03-2011, 17:05 door meeuw
Door Anoniem: RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Als alle websites nu even dit in hun .htaccess zetten...
Je snapt het nut niet van HSTS!
Hiermee redirect je een user -via- een -onbeveiligde- HTTP verbinding naar een beveiligd HTTPS verbinding.
Een nietsvermoedende gebruiker kan dus ook geredirect worden van http://www.abnamro.nl/ naar https://www.abmanro.nl/

Als ik HSTS uit het artikel goed begrijp doet de browser dit voor de gebruiker.
26-03-2011, 23:01 door Anoniem
Je kunt dat natuurlijk prima aan je webserver configuratie toevoegen, maar dan moet iedere website eerst HTTPS hebben.

Jammer genoeg zijn er nogal wat opstakels...

Het meest onhandige probleem daarbij is dat vanwege stomme Windows XP van Microsoft in we nog steeds voor iedere website met HTTPS een eigen IP-adres moeten gebruiken. Dat maakt het heel bewerkelijk voor hostingorganisaties (meer IP-adressen, andere firewall instellingen, extra webserver instelling, etc. etc.) en dus duurder voor de klant.

Er is een protocol extensie voor HTTPS 'SNI' (Server Name indication) dat het mogelijk maakt om meerdere websites op 1 IP-adres te gebruiken, net als bij 'namebased virtual hosting'. Maar ja, in de systeem library van Windows XP zit daar geen support voor in en dus werkt dat niet met IE en Safari op Windows XP (andere browsers gebruiken hun 'eigen' library). Geen enkele update of service pack in al deze jaren heeft dat gefixed.

Ook bij Google (of wie dan ook) is iemand zo stom geweest om alle versies van voor Honeycomb (de versie die rond deze tijd uit komt) ook niet te voorzien met SNI.

Dus voordat beide systemen 'dood' zijn, kan niemand 'namebased virtual hosting' gebruiken voor HTTPS en dan gebeurt het echt NIET dat alle websites HTTPS gaan gebruiken.

En als iemand nog wil aanhalen dat HTTPS-certificaten bij CA's geld kosten die kent gewoon StartSSL niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.