HSTS là viết tắt của HTTP Strict Transport Security, đây là một cơ chế chính sách bảo mật web buộc các trình duyệt web chỉ tương tác với các trang web thông qua các kết nối HTTPS an toàn (và không bao giờ là HTTP). Điều này giúp ngăn chặn các cuộc tấn công hạ cấp giao thức và chiếm quyền điều khiển cookie Show HSTS ban đầu được tạo ra để đối phó với một lỗ hổng đã được Moxie Marlinspike giới thiệu trong một cuộc nói chuyện của Liên bang BlackHat năm 2009 có tiêu đề “Thủ thuật mới để đánh bại SSL trong thực tế. ” Lỗ hổng cụ thể mà HSTS chống lại là lỗ hổng được minh họa bởi công cụ SSLStrip của Marlinspike Về cơ bản, công cụ này hoạt động bằng cách chuyển đổi các kết nối HTTPS bảo mật trở lại các kết nối HTTP không bảo mật. HSTS khắc phục điều này bằng cách liên lạc với trình duyệt rằng phải luôn có kết nối HTTPS. HSTS cũng có thể giúp ngăn thông tin đăng nhập dựa trên cookie bị đánh cắp bởi các công cụ phổ biến như Firesheep Thật không may, một số cài đặt HSTS có thể vô tình gây ra lỗi trình duyệt. Chẳng hạn, nếu bạn đang sử dụng Chrome, bạn có thể gặp phải “Lỗi bảo mật. Kết nối của bạn không riêng tư” (NET. ERR_CERT_AUTHORITY_INVALID) Nếu bạn cố gắng truy cập cùng một trang web trên một trình duyệt khác và không gặp phải các sự cố tương tự, thì đó có thể là sự cố về cách cài đặt HSTS đã ảnh hưởng đến trình duyệt ban đầu của bạn. Trong trường hợp đó, bạn sẽ cần xóa chúng. Đây là cách xóa cài đặt HSTS trên Google Chrome và Mozilla Firefox Xóa và quên cài đặt HSTS trong các trình duyệt phổ biếnNếu trình duyệt của bạn đã lưu cài đặt HSTS cho một miền và sau đó bạn cố gắng kết nối qua HTTP hoặc kết nối HTTPS bị hỏng (tên máy chủ không khớp, chứng chỉ hết hạn, v.v.), bạn sẽ gặp lỗi. Không giống như các lỗi HTTPS khác, không thể bỏ qua các lỗi liên quan đến HSTS. Điều này là do trình duyệt đã nhận được hướng dẫn rõ ràng từ trình duyệt không cho phép bất kỳ thứ gì ngoại trừ kết nối an toàn Cài đặt HSTS bao gồm tùy chọn “tuổi tối đa”, cho trình duyệt biết thời gian lưu vào bộ đệm và ghi nhớ cài đặt trước khi kiểm tra lại. Để vượt qua lỗi ngay lập tức, bạn cần xóa cài đặt HSTS cục bộ của trình duyệt cho miền đó. Hướng dẫn về cách làm như vậy là dưới đây Các cài đặt này cần được xóa trong mỗi trình duyệt. Là nhà phát triển, bạn có thể gặp phải lỗi này nếu đang kiểm tra cấu hình HSTS. Trong Chrome, bạn có thể gặp lỗi này trên localhost. Nếu bạn đã triển khai HSTS trên một trang web trực tiếp cho người dùng cuối, thì có thể không sửa được lỗi mà họ đang gặp phải tùy thuộc vào quy mô đối tượng của bạn. Mỗi người dùng cần xóa cài đặt HSTS cục bộ của họ hoặc đợi chúng hết hạn theo 'độ tuổi tối đa' đã được đặt Cũng lưu ý rằng nếu trang web vẫn đang phục vụ tiêu đề HSTS, trình duyệt của bạn sẽ lưu trữ nó ngay khi bạn truy cập lại trang web. Vì vậy, trước tiên bạn phải ngừng gửi tiêu đề đó nếu bạn không muốn lỗi tái diễn Cả Chrome và Firefox đều không có mã lỗi duy nhất cho lỗi HSTS, nhưng các trang lỗi xen kẽ sẽ bao gồm thông tin về HSTS Xóa cài đặt HSTSLưu ý rằng các hướng dẫn này chủ yếu hữu ích cho các nhà phát triển đang thử nghiệm HSTS và hiện cần xóa cài đặt. Đối với trang web bạn không kiểm soát, việc xóa cài đặt HSTS cục bộ của trình duyệt sẽ không hữu ích nếu trang web đó vẫn đang cung cấp tiêu đề HSTS vì trình duyệt của bạn sẽ chỉ lưu lại cài đặt sau mỗi lần truy cập/làm mới Trong Chrome, bạn có thể thấy lỗi “NET. ERR_CERT_COMMON_NAME_INVALID. ” Nếu bạn nhấp vào “Nâng cao” trong Chrome, thông báo lỗi sẽ bao gồm “Bạn không thể truy cập miền. com ngay bây giờ vì trang web sử dụng HSTS. ” Điều đó sẽ xác nhận lỗi có liên quan đến HSTS. Trên máy chủ cục bộ, bạn có thể thấy lỗi “Trang web này không thể cung cấp kết nối an toàn. ” Trong Firefox, trang chuyển tiếp sẽ đọc. “Trang web này sử dụng HTTP Strict Transport Security (HSTS) để xác định rằng Firefox chỉ có thể kết nối với nó một cách an toàn. Do đó, không thể thêm ngoại lệ cho chứng chỉ này. ” Nếu bạn đã xác định lỗi là do cài đặt HSTS được lưu trong bộ nhớ cache, hãy làm theo các hướng dẫn sau để giải quyết lỗi Cách xóa cài đặt HSTS trong Chrome
Đây là giao diện người dùng của Chrome để quản lý cài đặt HSTS cục bộ của trình duyệt của bạn
Lưu ý rằng đây là một tìm kiếm rất nhạy cảm. Chỉ nhập tên máy chủ, chẳng hạn như www. thí dụ. com hoặc ví dụ. com không có giao thức hoặc đường dẫn
Trình duyệt của bạn sẽ không còn buộc kết nối HTTPS cho trang web đó nữa. Bạn có thể kiểm tra xem nó có hoạt động bình thường hay không bằng cách làm mới hoặc điều hướng đến trang Lưu ý rằng tùy thuộc vào cài đặt HSTS do trang web cung cấp, bạn có thể cần chỉ định tên miền phụ phù hợp. Ví dụ: cài đặt HSTS cho dàn. trang web của bạn. com có thể tách biệt với trang web của bạn. com nên bạn có thể cần lặp lại các bước nếu thích hợp Cách xóa cài đặt HSTS trong FirefoxChúng tôi sẽ đề cập đến hai phương pháp khác nhau để xóa cài đặt HSTS trong Firefox. Phương pháp đầu tiên sẽ hoạt động trong hầu hết các trường hợp – nhưng chúng tôi cũng bao gồm tùy chọn thủ công nếu cần
Phương pháp thủ công cho Firefox Bắt đầu bằng cách định vị thư mục hồ sơ Firefox của bạn thông qua trình khám phá tệp của hệ điều hành của bạn. Bạn có thể tìm thấy thư mục này thông qua Firefox bằng cách điều hướng đến khoảng. ủng hộ Ở giữa trang, trong phần Khái niệm cơ bản về ứng dụng, bạn sẽ thấy Thư mục hồ sơ. Nhấp vào Mở thư mục Bây giờ hãy đóng Firefox để trình duyệt không ghi đè lên bất kỳ cài đặt nào chúng ta sắp thay đổi Trong thư mục Hồ sơ của bạn, tìm và mở tệp SiteSecurityServiceState. txt. Tệp này chứa cài đặt HSTS và HPKP (Ghim khóa, cơ chế HTTPS riêng) được lưu trong bộ nhớ đệm cho các miền bạn đã truy cập. Nó có thể rất vô tổ chức Tìm kiếm miền bạn muốn xóa cài đặt HSTS và xóa miền đó khỏi tệp. Mỗi mục tồn tại với tên miền. Xóa toàn bộ mục nhập từ đầu tên miền mong muốn sang tên miền được liệt kê tiếp theo. Thay vào đó, bạn có thể đổi tên tệp hiện có từ một. txt thành một. bak (để lưu tệp hiện có, đề phòng) và cho phép Firefox tạo một tệp hoàn toàn mới trong lần khởi động tiếp theo Dưới đây là một ví dụ về danh sách HSTS đơn giản www. thesslstore. com. HSTS 0 17312 1527362896190,1,0 Như đã đề cập, định dạng cho tệp này có thể lộn xộn. Dưới đây là một mẫu từ hồ sơ của tôi. Cài đặt của mỗi miền được hiển thị bằng một màu duy nhất để phân tách rõ ràng. Trong trường hợp này, một phần của cài đặt cho miền trước đó sẽ xuất hiện phần đầu màu đỏ 1527363079029,1,0www. thesslstore. com. HSTS 0 17312 Ghi chú. Băm lại là một tính năng cuối tuần thông thường tại Hashed Out nơi chúng tôi chọn một bài đăng cũ hơn để xem lại. Tuần này chúng ta hãy xem câu trả lời cho một trong những câu hỏi mà chúng ta được hỏi nhiều nhất. Cách sửa lỗi kết nối SSL trên điện thoại Android |