Безпека Google.com підвищиться за рахунок використання HSTS

18

Від автора: Google підвищив надійність основного домену за рахунок активації захищеного з’єднання з допомогою HSTS. Надалі компанія планує задіяти цей механізм і на інших ресурсах. Про це повідомляється на блозі Google, присвяченому інтернет-безпеки.

Глобальний пошуковик почав використовувати на основному домені HSTS. Механізм HTTP Strict Transport Security служить для активації між ресурсом і користувачем захищеної версії з’єднання на основі протоколу HTTPS без використання звичних заголовків HTTP.

Технологія HSTS визначена у специфікації міжнародного інтернет-стандарту RFC 6797, який був прийнятий кілька років тому. Завдяки використанню цього механізму можна запобігти більшу частину хакерських атак, метою яких є перехоплення встановленого з’єднання між користувачем і ресурсом.

У публікації наголошується, що реалізація HSTS на домені Google.com ще не закінчена до кінця. З-за цього час життя заголовка HSTS поки дорівнює одному дню. Після більш глибокої інтеграції технології на ресурсі значення max-age буде підвищено до 365 днів (1 року).

Даний крок є тільки першим в переході на новий стандарт захисту. Представники Google відзначили, що з часом на HSTS будуть переведені всі ресурси корпорації.