Cos’é l’HSTS?

Scopri cos'è l'HSTS per garantire connessioni sicure.

HSTS (Strict Transport Security)

HSTS (HTTP Strict Transport Security) è un istruzione di sicurezza che consente ai siti web di indirizzare i browser a comunicare esclusivamente attraverso HTTPS, garantendo così una connessione crittografata e sicura. Questo aiuta a proteggere gli utenti dall’intercettazione dei dati sensibili e dall’attacco informatico prevenendo il “cookie Hijacking” e il “MitM”.

Copy to Clipboard

Max-age: questo valore è obbligatorio e specifica il numero di secondi per i quali il server deve essere contattato esclusivamente tramite HTTPS.

IncludeSubDomains: Questo è un campo opzionale. Se impostato, specifica che la politica HSTS dovrebbe essere applicata anche a eventuali sottodomini.

Utilizzando la stringa, ogni connessione al sito (compresi i sottodomini) dovranno essere esclusivamente tramite HTTPS. Nel nostro caso questa direttiva per “31536000 secondi”

Le connessioni HTTP non saranno più ammesse, cosicché nel caso il browser riceva una richiesta di caricamento di una risorsa tramite HTTP, dovrà automaticamente tentare di proporre una richiesta tramite HTTPS.

Nel caso in cui l’HTTPS non sia disponibile, la connessione dovrà essere interrotta.

HSTS e pre-caricamento

Il valore massimo dell’HSTS max-age (vedi codice sopra) viene aggiornato ogni qualvolta il browser leggerà l’intestazione e il suo valore massimo è di due anni; questo scenario si traduce che la protezione nella navigazione sarà permanente finché non passano più di due anni tra le visite.

Per aumentare la protezione del sito web è possibile utilizzare un “pre-caricamento HSTS”. Chromium mantiene un database con l’elenco dei siti che utilizzano HSTS e tale elenco sarà distributo con i browser. In questo caso il browser prima controllerà questo elenco precaricato e successivamente non permetterà connessioni tramite Http, nemmeno durante la prima richiesta di connessione.

Copy to Clipboard

Il Preload HSTS viene utilizzato da Firefox, Opera, Safari ed Edge. Per includere anche il tuo sito web puoi utilizzare il seguente link: https://hstspreload.org/.

Per poter essere inclusi in questa lista si dovrà rispettare i seguenti requisiti:

  1. Certificato SSL/TLS valido .
  2. Reindirizzare tutto il traffico verso HTTPS.
  3. Servire HSTS sul dominio di base (ex “screamingfrog.club“.)
  4. Gestire tutti i sottodomini s epresenti su HTTPS.
  5. La scadenza impostata non deve essere inferiore a 1 anno (31536000 secondi)
  6. Deve essere specificata la direttiva “includeSubdomains
  7. Deve essere specificata la direttiva token “preload“.

Vantaggi HSTS

Poiché la riscrittura da HTTP a HTTPS avviene internamente sul client, ci sono diversi vantaggi chiave rispetto all’utilizzo di un semplice re-indirizzamento HTTP -> HTTPS su tutto il sito.

  • Ridotta comunicazione su protocolli non sicuri.
  • Miglioramento delle prestazioni, poiché si evita un giro di vite ogni volta che viene incontrato un link HTTP.
  • Riduzione del carico sul server web. Tuttavia, è ancora necessario un reindirizzamento HTTP -> HTTPS su tutto il sito. Poiché l’intestazione Strict-Transport-Security viene ignorata a meno che non venga inviata tramite HTTPS. Quindi, se la prima visita al tuo sito non avviene tramite HTTPS, è comunque necessario quel re-indirizzamento iniziale verso HTTPS per fornire l’intestazione Strict-Transport-Security a meno che il sito, come detto prima, sia incluso con il “Preload”.

Verificare HSTS

Una volta aggiunta la direttiva HSTS è fondamentale controllare la sua presenza.

Un primo metodo di monitoraggio utilizzato dai developer è quello di utilizzare “Google Chrome Devtools” e verificare la presenza dell’istruttoria nella tab “network” ma questo scenario dovrebbe essere ripetuto per ogni singola pagina per verificare che non ci siano delle incongruenze e la direttiva risponda correttamente su ogni pagina.

Il secondo è quello che include Screaming Frog che, in pochi secondi mi permette di verificare la presenza dell’HSTS senza alcuno sforzo. I risultati della scansione sono a tua disposizione nella tab “Security” del Seo Spider.

Analisi della direttiva HSTS con Screaming Frog
Seo Wiki Guide