Facebook inför HTTP Strict Transport Security (HSTS)

Facebook meddelade för några dagar sedan via deras sida Protect the Graph att de nu inför HTTP Strict Transport Security (HSTS) med preloading.

❤ Snälla! Ditt stöd är viktigt – Bli månadsgivare via Patreon >

Gör jag en anslutning med hjälp av curl och argumentet -I så bör nuvarande https-headers se ut ungefär enligt följande:

HSTS är en säkerhetshöjande teknik som berättar för webbläsaren att sajten som du går till enbart återfinnes över https samt hur länge (max-age). Och Facebook har satt max-age till 15552000 sekunder vilket är 180 dagar. Och för att citera Mozilla web security guidelines:

max-age must be set to a minimum of six months (15768000), but longer periods such as two years (63072000) are recommended. Note that once this value is set, the site must continue to support HTTPS until the expiry time has been reached.

Preload innebär att domänen listas direkt i webbläsaren och behöver således inte förlita sig på någon kommunikation till sajten först för att läsa ut https-headern, och gör kommunikationen säkrare. För den som vill se hela listan med preloadade-sajter som följer med Google Chrome kan se den här eller här. Vad jag också kan observera är att de ej inkluderar direktivet includeSubdomains vilket kan öppna upp för attacker.

Och tittar vi hur stödet för HSTS ser ut i webbläsare så gäller följande:

Webbläsare	Stöd inkluderades från version
Internet Explorer	Internet Explorer 11 on Windows 8.1 and Windows 7[2]
Firefox	4
Opera	12
Safari	Mavericks (Mac OS X 10.9)
Chrome	4.0.211.0