Web orrietan nabigatzean eta HTTP konexioen bidez datuak bidaltzean erabiltzaileek segurtasun-arriskuak dituzte.
Ohiz, erabiltzaileak nabigatzailearen helbide-barran HTTP:// helbidea sartzen duenean, automatikoki web bertsio bera bilatzen saiatzen da, baina formatu enkriptatuan, hau da, HTTPS:// goiburuarekin. Automatizazio horren funtsezko helburua da erabiltzailearen datuak babestea, eskura dagoen kanal enkriptatu baten bidez bidalita. Dena den ziberdelitugile batek erabil dezake erabiltzaileari birbideratzeko eta babestu nahi den informazioa lapurtzeko. Are gehiago, jatorrizkoaz kanpo, phishing webgunera eraman diezaioke.
HSTS (HTTP Strict Transport Security) 2012. urtearen amaieran IETFk RFC 6797 gisa abiarazi eta argitaratutako zuzentaraua da aurreko paragrafoetan deskribatu den kalteberatasuna saihesteko. Zuzentarauak webgunea ostatatzen duen zerbitzaritik erabiltzailearen nabigatzaileari jakinarazten dio konexioa maneiatzeko era, eta, horretarako, hasieran erantzun-goiburua bidaliko dio.
Bere modurik xumeenean, politikak esaten dio nabigatzaileari domeinu edo domeinuorde zehatzean HSTS gai dezan eta hainbat segundotan gogora dezan. Modurik irmo eta gomendatuenean, HSTS politikak domeinuorde guztiak ditu, eta nabigatzaileetan “aurrekargatzeko” borondatea adierazten du.
Nabigatzaile bateragarriak goiburu hori jasotzen duenean, ez du utziko HTTP-aren bidez domeinu horri komunikazioak bidaltzea eta, horren ordez, guztiak HTTPS-aren bidez bidaliko dira.
Erabiltzaileak HSTS aprobetxatzeko, nabigatzaileak gutxienez behin HSTS goiburua ikusi behar du. Horrenbestez, erabiltzaileek ez dute babesik izango domeinu zehatzean lehen konexio seguru arrakastatsua egiten ez duten bitartean.
Izan liteke erasoa webgunean lehenengoz sartzean gertatzea. Erabiltzaileak eskuz idaztean beste webgune batean ostatatutako HTTP:// esteka zaharraren bidez irits daiteke edo malwareak aurretik gailua infektatu badu, HTTPS helbideak automatikoki HTTP helbideetara birbidera daitezke. Halakoak saihesteko, Chromeren segurtasun-taldeak domeinuen zerrenda bat sortu zuen HSTSren aurrekargarekin, eta dagoeneko Chrome nabigatzailean txertatuta dago. Beste nabigatzaile batzuek, hala nola Firefox, Edge, Opera edo Safarik, ere barneratu dute.
Zerrenda hori eguneratuz doa, eta hori esker erabiltzailea webgune batean zehar lehenengoz nabigatu arren, erreferentzia badago HSTS politikak kontuan hartzen dira, eta edozein birbideratze gaizto saihesten da.
Beraz, gomendagarria da erakunde batek bere web politika horiek inplementatzea erabiltzaileen datuak babesteko eta, gainera, haren domeinua eta domeinuordeak erants diezazkioke zerrendari zenbait baldintza betetzen baditu:
- HTTPS protokoloa domeinu erroan eta domeinuorde guztietan gaituta egotea.
- HSTS politikak domeinuorde guztiak, intraneten erabiltzen direnak barne, sartuta izatea.
- Webguneak gutxienez domeinu erroan HTTPtik HTTPSra birbideratzea.
Epe luzera, webguneak HTTPSra trantsizio osoa egingo du, eta nabigatzaileek pixkana HTTP soila ezabatu eta lehentasunez HTTPS helbideetara pasako dira. Une horretan HSTSren aurrekarga-zerrenda eta HSTS bera ez dira beharrezkoak izango. Hala eta guztiz ere, ordura arte HSTSren aurrekarga-zerrenda mekanismo sinple eta eraginkorra da domeinu oso batean HTTPS blokeatzeko.
