HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว
กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้ เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด
กูเกิลระบุว่าที่กระบวนการนี้ช้าเพราะมีลิงก์ภาพจำนวนมากกำหนด URL ไว้ผิด และการบังคับใช้ HTTPS ทันทีอาจจะมีปัญหากับบริการอื่นๆ หลังจากแก้ปัญหาไปเยอะแล้ว ตอนนี้กูเกิลก็เปิด HSTS โดยกำหนดอายุเพียง 1 วันเท่านั้น เพื่อลดความเสี่ยงในกรณีที่มีปัญหาขึ้นมา และระยะเวลาบังคับ HSTS จะเพิ่มขึ้นเรื่อยๆ จนเป็นหนึ่งปี ระหว่างนี้ในช่วงเดือนข้างหน้า ทีมงานจะค่อยๆ เพิ่มโดเมนที่เปิด HSTS ไปเรื่อยๆ ด้วย
บริการหลักๆ เช่น เฟซบุ๊ก และทวิตเตอร์ล้วนเปิด HSTS กันแล้ว สำหรับ Blognone เองก็เปิด HSTS และ มีชื่อใน Preload List มาตั้งแต่หลายเดือนก่อน (บรรทัดที่ 3695)
ที่มา - Google Security
Comments
แล้วเว็บในไทยกลุ่มธุรกิจไหน ควรที่จะเปิดบังคับใช้ HSTS บ้าง กลุ่มธุรกิจการเงิน การธนาคารทั้งหมดควรจะบังคับใช้ HSTS มาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS นี้หรือเปล่าครับ
ขึ้นกับความพร้อมครับ กรณีเว็บบริการ online-banking นี่ควรแน่ๆ (มันมีใครอยากให้บริการ online banking แบบไม่เปิด HTTPS?) แต่กรณีเว็บข้อมูลนี่มีความซับซ้อนกว่านั้นอีกเยอะ หลายบริการเปิดเผยข้อมูลเชื่อมโยงกับบริการอื่นๆ อย่างธนาคารอาจจะมี URL สำหรับเปิดเผยอัตราแลกเปลี่ยน/อัตราดอกเบี้ย ฯลฯ
การที่มีบริการอื่นๆ มาเชื่อมมากๆ เข้า การตัดสินใจเปิด HTTPS ไม่ใช่เรื่องง่ายนัก และการเปิด HSTS จะทำให้การยกเลิกเปิด HTTPS ทำได้ยาก เพราะถ้า revert กลับจะกลายเป็นเบราว์เซอร์ที่อ่านค่า HSTS ไปแล้วไม่ยอมเข้าเว็บ
กระบวนการโดยทั่วไปคงเป็นการเปิดใช้ HTTPS ทั้งหมดก่อน ระยะหนึ่ง แล้วค่อยเปิด HSTS ตามไปครับ
lewcpe.com , @wasonliw