HSTS 是一种针对降级攻击和 cookie 劫持的保护措施。这是一种保护用户免受中间人攻击的方法。
中间人攻击者试图拦截具有无效证书的用户的流量,并希望用户接受错误的证书。 HSTS 不允许用户覆盖无效证书消息。
— Owasp
86% 的分析网站不支持 HSTS。这并不奇怪:这项技术刚刚发布,浏览器才刚刚开始支持它。我们希望明年情况会有所改善。
安全协议的旧版本(TLS 1.0 或更早版本)
传输层安全性 (TLS)和安全套接字层 (SSL)协议在网站和浏览哥斯达黎加电子邮件列表器之间提供安全连接,必须定期更新到新的、强大的版本 :1.1 或更高版本。没有必要犹豫,这是义务。过时的协议版本使得窃取您的数据变得非常容易。这是最严重的错误之一,但在所分析的网站中却发现了 3.6% 的错误。这意味着即使那些小心扩展其 SSL 证书的公司也可能会忘记更新其协议版本。所以,不要忘记检查您网站的当前状态。
服务器名称指示 (SNI)是传输层安全性 (TLS) 协议的扩展,它允许您在同一个 IP 地址上支持多个服务器和主机证书。
使用SNI解决了我们上面讨论的问题:使用错误的域名注册的SSL证书。假设您添加了一个新的子域:输入后,您的用户将收到有关不安全连接的警告,因为 SSL 证书是为不同的域名颁发的。预测所有可能的名字是非常困难的,甚至是不可能的。这就是 SNI 的用途:防止出现此错误。
这不是一个严格的要求,这可能就是为什么我们分析的网站中只有 0.56% 检测到与 SNI 相关的错误。