Ønsker du bedre sikkerhed og et hurtigere website? Ja, hvorfor ikke? Så bør du tage et kig nærmere på HSTS. I denne artikel får du inputs til hvorfor du bør bruge HSTS.
HSTS står for HTTP Strict Transport Security.
Brugere og søgemaskiner tager ikke let på sikkerhed. Det bør du som websiteejer naturligvis heller ikke gøre. Du har sandsynligvis allerede tilføjet et SSL-certifikat til dit website for at køre med den sikre protokol HTTPs.
Du er godt på vej med at øge sikkerheden, ved at gøre brug af et SSL-certifikat, men du kan øge sikkerheden endnu mere og være 100% sikker på, at ingen kan trænge igennem, samtidig med at du sænker loadtid.
Hvad er HSTS?
HSTS er en responsheader der informerer browsere om, at de kun kan forbinde til et website, igennem HTTPs.
For at forstå fordelene ved HSTS, er det nødvendigt at man først forstår hvordan HTTPS fungerer og derfor denne lille introduktion.
Introduktion til SSL for begyndere
Når en bruger forbinder til et website, der bruger HTTPS, krypterer websitet sessionen med et SSL-certifikat. Dette er et ekstrasikkerhedslag til sessionen, der beskytter imod opsnapning af informationer, der veksles imellem brugeren og websitet.
Derfor har det også i mange år været fast praksis at benytte sig af SSL, når man kørte betalinger eller skulle indtaste andre følsomme informationer. Det “nye” inden for HTTPS er, at man nu sikrer alle sider og ikke kun kritiske sider.
Den almindelige måde at håndtere HTTPS på er dog ikke som udgangspunkt helt sikker. Langt de fleste bruger nemlig almindelige 301 redirects til at viderestille til HTTPS adressen. Det betyder, at man kan tilgå http-versionen, inden den skifter til HTTPS – selvom det kun er i et brøkdel af et sekund, er det stadig en sikkerhedstrussel og omdirigeringen tager derudover tid for både brugere og søgemaskiner.
I dette lille tidsrum, kan en hacker foretage det, der i fagsprog kaldes for SSL-stripping.
Det er altså igennem det almindelige 301 fra http til https at hackere kan komme ind. Dette er muligt, fordi at browseren ikke på forhånd ved at en side svarer på https, når den prøver at tilgå domænet, det får den først at vide når http versionen svarer og peger over på https.
Hvordan aktiverer man HSTS?
Du kan aktivere HSTS på langt de fleste hosts, men der er de hosts, der ikke giver adgang til .htacces eller webconf, .htacces er eksempelvis ikke tilgængelig i et nginx setup. I flere setups er det derfor nødvendigt at kontakte hosting-udbyderen for at få det aktiveret, hvorimod du i andre setups, selv kan vinge funktionen af eller indsætte i .htacess eller webconfs. Services som Cloudflare tilbyder også nem aktivering af HSTS.
Google anbefaler, at man benytter en webserver der understøtter HSTS, med følgende politikker:
- Inkludering af alle subdomæner
- Preload til browsere
Herudover skal du være sikker på at din HTTPS opsætning er sat korrekt op, og fungerer som den skal.
For at få HSTS til at fungere, er det også nødvendigt at non-www til www redirects fjernes først, da ALLE subdomæner skal kunne tilgås og pege direkte på HTTPS, non www må dermed ikke viderestille til www, der skal med det samme viderestilles til HTTPS-versionen uden www.
Foretrækker du at bruge www som subdomæne, ligesom det er tilfældet på denne blog, skal www versionen dikteres i selve dit websites setup, i denne blogs tilfælde, der kører på WordPress, er live-url blot opdateret til at inkludere www.
HSTS-preloading
HSTS-preloading gør det muligt, at servere svar til browsere uden de overhovedet behøver at kalde head på websitet. Hvilket gør load og viderestilling endnu hurtigere.
For at preloade HSTS, skal du på en liste over godkendte HSTS websites, som er bygget ind i browsere. Listen bruges blandt andet i Chrome, Opera, Firefox, Safari, IE11 og Edge – hvilket er alle de største browsere på markedet. Og gæt hvem der står bag listen? Det gør Chrome (Google).
Du kan ansøge om at komme på preload-listen, ved at besøge dette link: https://hstspreload.org/
På denne blog er HSTS sat op og afventer på nuværende tidspunkt, at blive optaget på Preload-listen, min virksomhedsside Bondtofte.dk, er godkendt og tilgængelig i listen og preloades derfor nu af langt de fleste browsere.
Hvad har alt det her med SEO at gøre?
Google er meget fokuseret på sikkerhed og giver også en anelse bedre rankings til de websites, der kører https kontra dem der ikke gør.Google står bag det officielle preload initiativ og har derfor stor fokus HSTS. Du kan være meget sikker på, at HSTS bliver noget, Google forventer alle bruger- men nok ikke lige de næste par år.
Ved at gøre brug af HSTS, forbedrer du dit websites renderingstid, hvilket kan have positive udfald for dine placeringer i søgeresultaterne. Hvis et website der kun kører med HTTPS loades, vil http versionen først blive kaldt, før det er muligt at se http supporten.
Det indledningsvise kald til http vil give en mindre forsinkelse i loadtiden og dette forekommer hver eneste gang en http-side kaldes, hvilket på nogle websites kan være af mange omgange, hvis man ikke har sørget for at opdatere interne URLs, ved migrering fra http til https.
Når først browseren har fanget HSTS politikken, vil den udelukkende kalde https versioner af sider også selvom at der linkes med http.
Herudover skal man huske på at brugere også får gavn af den ekstra hastighed, der bliver sat på. Det kan betyde flere besøgende og dermed flere gode oplevelser, noget Google også prøver at måle på. Foruden chancen forat nogle af brugerne vælger at linke til dit indhold, har de en god oplevelse på websitet. Alt sammen elementer der er med til at forbedre placeringerne i søgeresultaterne.
Vær opmærksom på
Du skal være opmærksom på, at når dit website er godkendt og inkluderet I HSTS-preload listen, modtager browsere en 307 omdirigering, der peger på https-versionen.
I virkeligheden er der ikke tale om en 307 omdirigering, dette er kun på brugerniveau, da det er browseren der modtager 307 omdirigeringen fra preload-listen og ikke fra selve serveren.
Crawler du dit website med eksempelvis Screaming Frog, vil du udover 307 omdirigeringen også kunne se, at HSTS benyttes.
På serverniveau er omdirigeringen sat til den korrekte viderestillingskode 301.