Miten HSTS otetaan käyttöön?
Kaikilla Seravon WP-palvelussa olevilla sivustoilla on oletuksena käytössä HTTPS-varmenne. Sivuston tietoturvaa voidaan entisestään parantaa ottamalla käyttöön HTTP Strict Transport Security, josta käytetään myös lyhennettä HSTS.
Kyseinen HTTP-otsake (header) kertoo selaimelle ja koko Internetille, että kyseisellä sivustolla on aina käytössä HTTPS, ja että sivustoa ei kuulu käyttää lainkaan ilman suojattua yhteyttä. Näin ollen mikäli selain jostain syystä näkee sivuston ilman suojausta, käyttäjän selain tietää, että jotain epäilyttävää on meneillään (esimerkiksi DNS-kaappaus) ja kieltäytyy lataamasta epäilyttävää sivua.
HSTS käytössä oletuksena
/data/wordpress/nginx/security.conf. Muokkaamalla kyseistä tiedostoa voidaan HSTS-sääntöjä tiukentaa. Muutosten jälkeen on vielä muistettava käynnistää HTTP-palvelin (Nginx) ajamalla komento wp-restart-nginx, jotta muutokset tulevat voimaan.
Oletusarvoisesti HSTS-määritys on seuraava:
add_header Strict-Transport-Security "max-age=63072000;";
Asetuksesta on myös olemassa tiukempi versio, jolla voi kertoa selaimille, että myös kaikki aliverkkotunnukset käyttävät aina salattua yhteyttä, eikä aliverkkotunnuksissa olevia sivustoja saa ladata selaimessa, jos yhteys on suojaamaton. Tätä emme kuitenkaan suosittele kaikille asiakkaillemme, koska asiantuntijan pitää ensin tarkistaa, että kaikki verkkotunnuksen aliverkkotunnukset käyttävät aina ja kaikkialla vain suojattua yhteyttä ennen kuin tämä lisärajoitus on järkevää ottaa käyttöön. Tarkistuksen voi halutessaan tilata Seravolta asiantuntijatyönä.
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
Lisätietoja HSTS-otsakkeista
Seravon kehittäjädokumentaatio: https://seravo.com/docs/configuration/nginx/#adding-hsts-headers
Mozilla: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
Nginx HTTP-palvelin: https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/