HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.^[1]

Het HSTS-beleid^[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.

Browserondersteuning

Chromium en Google Chrome vanaf versie 4.0.211.0^[3]^[4]
Firefox vanaf versie 4;^[5] vanaf Firefox 17 houdt Mozilla een lijst bij van websites die HSTS ondersteunen.
Opera vanaf versie 12^[6]
Safari vanaf versie OS X Mavericks^[7]
Edge en Internet Explorer 11 onder Windows 10 ondersteunen HSTS.^[8]^[9]

Zie ook

Extended Validation Certificate

Referenties

↑ RFC 6797
↑ Hodges, Jeff; Jackson, Collin; Barth, Adam, Section 5.2. HSTS Policy. RFC 6797. IETF (Nov 2012). Geraadpleegd op 21 november 2012.
↑ The Chromium Developers, Strict Transport Security - The Chromium Projects (17 november 2010). Geraadpleegd op 17 november 2010.
↑ Jeff Hodges, fyi: Strict Transport Security specification (18 september 2009). Geraadpleegd op 19 november 2009.
↑ HTTP Strict Transport Security. Mozilla. Geraadpleegd op 17 March 2011.
↑ Opera Software ASA, Web specifications support in Opera Presto 2.10 (23 april 2012). Geraadpleegd op 8 mei 2012.
↑ @agl__ (Adam Langley), Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.. on Twitter. Gearchiveerd op 5 januari 2014. Geraadpleegd op 20 december 2013.
↑ Internet Explorer Web Platform Status and Roadmap. Gearchiveerd op 29 juni 2015. Geraadpleegd op 14 april 2014.
↑ Project Spartan and the Windows 10 January Preview Build - IEBlog. Geraadpleegd op 23 januari 2015.

Externe links

RFC 6797: HTTP Strict Transport Security (HSTS)
IETF WebSec Working Group

[1] RFC 6797

[hsts-policy-2] Hodges, Jeff; Jackson, Collin; Barth, Adam, Section 5.2. HSTS Policy. RFC 6797. IETF (Nov 2012). Geraadpleegd op 21 november 2012.

[chromium_sts-3] The Chromium Developers, Strict Transport Security - The Chromium Projects (17 november 2010). Geraadpleegd op 17 november 2010.

[4] Jeff Hodges, fyi: Strict Transport Security specification (18 september 2009). Geraadpleegd op 19 november 2009.

[5] HTTP Strict Transport Security. Mozilla. Geraadpleegd op 17 March 2011.

[opera_presto-6] Opera Software ASA, Web specifications support in Opera Presto 2.10 (23 april 2012). Geraadpleegd op 8 mei 2012.

[7] @agl__ (Adam Langley), Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.. on Twitter. Gearchiveerd op 5 januari 2014. Geraadpleegd op 20 december 2013.

[8] Internet Explorer Web Platform Status and Roadmap. Gearchiveerd op 29 juni 2015. Geraadpleegd op 14 april 2014.

[9] Project Spartan and the Windows 10 January Preview Build - IEBlog. Geraadpleegd op 23 januari 2015.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]