Segurança de rede
HTTP Strict Transport Security (HSTS)
Também conhecido como: Strict-Transport-Security, Cabeçalho HSTS
Definição
Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
O HSTS, definido no RFC 6797, é sinalizado pelo cabeçalho de resposta Strict-Transport-Security. Quando um navegador compatível recebe este cabeçalho, memoriza a política e atualiza automaticamente qualquer pedido futuro para esse host (e, opcionalmente, os seus subdomínios) para HTTPS, recusando-se a estabelecer ligação se o handshake TLS ou a validação do certificado falharem. Esta medida neutraliza ataques de SSL stripping e injeção de cookies nas requisições iniciais. As boas práticas combinam um max-age elevado, a diretiva includeSubDomains, a diretiva preload e a submissão do domínio à lista HSTS preload do navegador para proteger também a primeira visita.
Exemplos
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- Um banco submete o seu domínio principal à lista HSTS preload do Chromium.
Termos relacionados
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL Stripping
Ataque de homem no meio que rebaixa silenciosamente a ligação HTTPS da vítima para HTTP em claro, permitindo ao atacante ler e alterar o tráfego.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
Autoridade de certificação (CA)
Entidade de confiança que emite e assina certificados digitais, ligando chaves públicas a identidades verificadas, como nomes de domínio ou organizações.