Veiliger surfen met HSTS

Je gegevens zijn zeker een stuk veiliger als je web sites bezoekt met HTTPS, je weet dan goed met welke partij je te maken hebt, en je gegevens worden versleuteld verstuurd. Maar hoe zit het met alle links en referenties in de pagina die je bezoekt die wellicht geen HTTPS gebruiken?

Gemengde veiligheid

Inmiddels zijn de banken er aardig in geslaagd de gemiddelde consument de waarde van veilig surfen via https:// duidelijk te maken. Maar helaas is het dan nog mogelijk dat de webpagina die bezocht wordt niet helemaal veilig is en een ingang geeft voor hackers. Dit komt omdat veel sitebouwers soms een absolute URL die start met http:// gebruiken bijvoorbeeld om een plaatje of een andere bron weer te geven binnen dezelfde pagina die wel met https is opgehaald. Het is voor sitebouwers dan ook erg veel werk om op alle plekken de http te gaan vervangen, en wellicht gebruikt men bronnen binnen de pagina die niet eens https ondersteunen.

Omleiding

Een veel gebruikte oplossing is om alle aanvragen naar http automatisch om te leiden naar https. Dit lost zeker al veel op, zeker als er nog links in een site zitten die nog met http starten. Echter een directe referentie naar een plaatje of andere bronnen als javascript of stijlsheets via http zal wellicht daar nog steeds niet goed werken. De pagina blijft dan nog steeds gevoelig voor aanvallen.

RFC 6797

Het probleem met de gemengde content is de Internet Engineering Task Force (IETF) niet ontgaan. Sinds 2012 heeft men een specificatie goedgekeurd met een oplossing voor de gemengde content. In het kort komt de oplossing er op neer dat een browser vanzelf het http request omzet naar een https request als deze melding krijgt van de site dat dit moet gebeuren. Deze melding wordt via de RFC 6797 specificatie formeel geregeld via de HTTP Strict Transport Security (HSTS) header. Door deze header te zetten zal de browser alle links en bronnen waar nog http in voorkomt automatisch aanpassen naar https. Hoe deze header gezet moet worden is uiteraard te lezen in de hele HTTP Strict Transport Security (HSTS) specificatie.

Beperkingen

De HSTS lijkt het ei van Columbus maar kent helaas nog steeds een aantal beperkingen. Zo wordt HSTS niet even goed ondersteund door alle Internet browser versies. Daarnaast gaan ook niet alle Internet browsers gelijk om met sites met gemengde http/https content. Dit is een klein overzicht van de browsers en de HSTS ondersteuning:

• Chromium and Google Chrome: sinds verse 4.0.211.0
• Firefox sinds versie 4 met Firefox 17
• Opera sinds versie 12
• Safari sinds OS X Mavericks
• Internet Explorer vanaf versie 12

Zodra een apparaat dus een oudere versie van de browser gebruikt, zal HSTS niet goed werken. Wat ook handig is om te weten dat niet elke browser gelijk reageert op een pagina met gemengde http/https content, bepaalde browsers geven een lichte waarschuwing en laten die melding zien als je de informatie opvraagt achter het slotje in de URL. En soms krijg je een heel prominent scherm te zien met een melding dat de site niet veilig is en dat je zelf eerst akkoord moet gaat met een uitzondering.

Zelf aanzetten van HSTS

Het is ook mogelijk om voor een bepaald domein de browser zelf te vertellen dat de HSTS modus aan moet. Dit kan bijvoorbeeld binnen Chrome met deze interne URL: chrome://net-internals/#hsts. Je kunt dan een domein toevoegen, let wel op dat dit domein dan wel https ondersteund anders dan blokkeer je de site omdat de browser dan altijd via https verbinding wil maken.

Smartphones, tablets, smart tv's …

Helaas lopen de browsers op smartphones en andere apparaten soms nog wat achter op hun grote broers.Pas vanaf Android versie 4.4 zal HSTS goed gaan werken en bij Apple iOS is er nog geen versie gepland met HSTS ondersteuning. Ook is het zo dat de gebruiker nog steeds geen melding krijgt dat de pagina die ze bezoeken, ondanks het slotje in de URL, toch niet helemaal zo veilig is als men denkt. Dus zodra je mobiele websites bouwt zul je wellicht er voorlopig nog goed aan doen om zelf er voor te zorgen dat alle links en referenties dus https gebruiken.

Tot slot

Sites waar https en http gemengd gebruikt worden zijn soms niet te voorkomen door de wildgroei aan pagina's en CMS systemen. Ze horen er in feite gewoon bij. Het IETF heeft dit ook (h)erkend en een RFC specificatie goedgekeurd waar dit goed in geregeld kan worden. Net als met heel veel andere RFC specificaties kan het nog wel even duren voordat alle browser versies op alle apparaten deze specificatie goed en volledig ondersteund.