استفاده از پروتکل HSTS در دامنه گوگل

0
291
پروتکل HSTS

به تازگی شرکت گوگل، دامنه google.com خود را به روی HTTP Strict Transport Security که به اختصار HSTS نامیده می شود، تغییر داده است تا امنیت وب را بهبود بخشد، این امر به این شکل صورت می‌گیرد که بازدیدکنندگان سایت، ملزم به استفاده از HTTPS می‌گردند.

اگر یک Webmaster به HSTS تغییر نماید، به کاربرانی که از پروتکل HTTP برای بازدید سایت استفاده می‌کنند، اجازه مشاهده‌ی سایت مربوطه ارائه نخواهد شد، مگراینکه از پروتکل امن‌تری جهت مشاهده از آن استفاده نماید.

در حال حاضر HSTS فقط برای دامنه اصلی گوگل فعال است و به زودی سایر دامنه‌ها و محصولات گوگل نظیر YouTube، Maps، Play Store، Gmail نیز اعمال خواهد شد.

HTTPS، با رمزگذاری داده‌های در حال انتقال میان کاربر و وب‌سایت، آنها را در برابر حملات Man-in-the-Middle و سایر حملات Eavesdropping (حملاتی که فردی اطلاعات در حال انتقال را در میان راه به سرقت می برد) محافظت می‌نماید. همچنین HSTS، باید نسبت به حملات SSL Strip که به منظور پایین آوردن امنیت Connection از HTTPS به HTTP تلاش می‌کنند، عکس العمل نشان دهد.

Jay Brown، مدیر ارشد فنی گوگل بیان نمود که این غول دنیای وب باید برخی چالش‌های خاص در حین انتقال داده‌ها را رفع نماید، که از جمله‌ی مهم‌ترین آن‌ها می توان به مشکل شرکت Santa Tracker در سال پیش اشاره نمود.

وی بیان نمود که به‌طور معمول پیاده‌سازی HSTS فرآیندی نسبتا ساده است. اگر چه به علت پیچیدگی‌های خاص گوگل، برخلاف اکثر دامنه‌‌های دیگر، نیاز به انجام مراحل آماده‌سازی بیشتری می‌باشد. به‌عنوان مثال، باید محتوای ترکیبی، HREFهای نامناسب، Redirect به HTTP و موارد دیگر از جمله به‌روزرسانی سرویس‌های قدیمی را آماده نمود که مجموع این عوامل می‌تواند هنگام دسترسی کاربران به دامنه‌ی اصلی گوگل مشکل بوجود بیاورند، را پوشش داد.

به هرحال کار گوگل به عنوان شرکتی که امید اصلی آن رمزگذاری ۱۰۰ درصد محصولات و سرویس‌های  خود می‌باشد، هنوز به اتمام نرسیده است. اخیرا، حدود ۸۰ درصد درخواست‌ها به سرورهای گوگل از Connection‌های رمزگذاری‌شده استفاده می‌نمایند.

وقتی صحبت از HSTS به میان می‌آید، موضوع افزایش مدت زمان فعال بودن Header یا حداکثرعمر (Max-Age) آن نیز مطرح می‌شود.

طبق اظهارات Brown، در ابتدا حداکثر عمرِ Header‌های گوگل برای مدت یک روز تنظیم شد. مدت زمان کوتاه به کاهش ریسک برای بروز هر نوع مشکل احتمالی در این مورد کمک می‌نماید.

در حالی که با افزایش Max-Age، ما احتمال درخواست اولیه برای www.google.com بر روی HTTP را کاهش دادیم. در طی چند ماه آتی، میزان حداکثر عمر Header‌ها به حداقل یک سال افزایش خواهد یافت.

 تلاش‌ها و اقدامات گوگل در سراسر صنعت منتشر شده است و امیدواریم که با برنامه‌ی HTTPS Everywhere از EFF و Tor Project بتوانیم عوامل بیشتری از صنعت را جهت حرکت به سمت یک پروتکل استاندارد به حرکت در آوریم.

بدون دیدگاه

دیدگاهتان را بنویسید

*