오늘도 개발자 Backend Developer

HSTS(HTTP Strict Transport Security) 개념과 설정

1. HSTS란?

  • HTTPS를 강제하는 사이트의 경우 HTTP로 접근할 때, 302 Redirect 하는 경우가 많다. 이렇게 될 경우 취약점이 발생한다. (SSL Strip Attack : 하단참고)
  • 유저(브라우저)에게 HTTPS 요청만 허용함을 알려주는 것을 HSTS라고 함.(응답 Header에 추가함.)
  • HSTS는 서버 응답 Header를 통해 등록이 이루어질수도 있지만, Google, Paypal, Twitter의 경우는 크롬 브라우저에 HSTS가 Preload 되도록 강제화 되어있음.

https://www.chromium.org/hsts

HTTPS로 강제 Redirect 하는 법(Nginx)

return 301 https://$host$request_uri;

SSL Strip Attack이란?

  • SSL이 적용되어 있는 페이지에 공격자가 공격 대상의 HTTP Request를 스니핑 하여 SSL을 공격하는 방법
  • [공격대상] <- HTTP -> [공격자] <- HTTPS -> [HTTPS Server]
  • 자세한 내용은 구글 검색 ^_^

2. HSTS 설정방법

1) HTTP Header

Strict-Transport-Security “max-age=86400; includeSubdomains; preload”;

  • 옵션 설명
옵션명 설명 비고
max-age HSTS가 브라우저에 설정될 시간 값 초단위로 설정, Ex) 606024 = 86,400 = 1day
includeSubdomains HSTS가 적용될 도메인의 서브 도메인 적용 여부 해당값을 추가하게되면 example.com-> www.example.com, test.example.com까지 확장되어 적용됩니다.
preload HSTS가 브라우저 측에서 Preload 적용여부 추가시 브라우저 preload list에 추가됩니다.

(1) apache httpd

Header always set Strict-Transport-Security “max-age=86400; includeSubdomains; preload”

(2) nginx

add_header Strict-Transport-Security “max-age=86400; includeSubdomains; preload”;

2) 설정 확인

image

3. HSTS 해제방법

  • 강제로 HSTS를 삭제하는 방법, 사용자의 브라우저에서 삭제해야함.

1) 서버에서

(1) apache httpd

Header always set Strict-Transport-Security “max-age=0;”

(2) nginx

add_header Strict-Transport-Security “max-age=0”;

2) Chrome

chrome://net-internals/#hsts

image

  • Delete domain security policies 에 삭제할 도메인 입력 후 DELETE 버튼 클릭
  • Query HSTS/PKP domain 에 삭제한 도메인 입력 후 Query 버튼 클릭
  • 결과는 ‘Not Found’가 나온다.

4. TIP

  • HSTS를 추가하면 max-age 값 동안 적용되므로, 테스트 환경에서 max-age를 짧게 잡고, 충분히 테스트 한 후 max-age를 늘리세요.

참고링크

  • https://lesstif.gitbooks.io/web-service-hardening/content/ssl-tls-https.html
  • https://rsec.kr/?p=315
  • https://www.ibm.com/support/knowledgecenter/ko/SSEQTJ_9.0.0/com.ibm.websphere.ihs.doc/ihs/tihs_hsts.html