Entenda o HSTS (HTTP Strict Transport Security)

A Cloudflare oferece suporte à HTTP Strict Transport Security (HSTS) para ajudar a proteger seu servidor web HTTPS contra ataques de rebaixamento man-in-the-middle, como ataques de remoção de SSL.


Visão geral

O HSTS é uma tecnologia de segurança da web que protege os servidores web em HTTPS contra ataques de rebaixamento. Os ataques de rebaixamento (também conhecidos como ataques de remoção de SSL) são uma forma de ataque man-in-the-middle no qual um invasor redireciona navegadores da web de um servidor web HTTPS configurado corretamente para um servidor mal-intencionado.

O HSTS consiste em um cabeçalho HTTP com diversos parâmetros que ordena que os navegadores da web em conformidade:

  • transformem todos os links HTTP em links HTTPS; e
  • atualizem todas as advertências de SSL do navegador como erros que não podem ser contornados para que o site seja exibido.

Consulte os pré-requisitos antes de ativar o HSTS.


Pré-requisitos

Habilitar a HTTP Strict Transport Security (HSTS) aprimora a segurança do seu site. No entanto, você deve levar em conta alguns fatores importantes:

  • Habilite o HTTPS antes de ativar o HSTS; caso contrário, os navegadores não conseguirão aceitar suas configurações de HSTS.
  • Após o HSTS ter sido ativado, o HTTPS deverá permanecer habilitado ou os visitantes não conseguirão acessar o seu site.

Como habilitar o HSTS

Se o SSL ou o HTTPS estiverem desabilitados e o HSTS estiver ativado, os visitantes não conseguirão acessar seu site durante o período especificado no Cabeçalho Max Age. Por exemplo, se o Cabeçalho Max Age for configurado para 6 meses e você desabilitar o HTTPS 2 meses após ativar o HSTS, os navegadores que visitaram seu site enquanto o HTTPS estava ativado não conseguirão visitar o seu site pelos 4 meses seguintes, a não ser que o HTTPS seja ativado novamente.

Para ativar o HSTS:

1. Faça o login no painel da Cloudflare.

2. Clique na conta da Cloudflare correspondente ao domínio que requer HSTS.

3. Verifique se o domínio correto está selecionado.

4. Clique no aplicativo SSL/TLS da Cloudflare.

5. Clique em Ativar HSTS na seção HTTP Strict Transport Security (HSTS).

6. Uma janela de confirmação será exibida. Leia o conteúdo da advertência.

7. Para prosseguir, clique em Entendi.

8. Clique em Avançar.

9. Selecione as configurações de HSTS apropriadas para o seu domínio.  No mínimo, configure o Cabeçalho Max Age para ativar o HSTS:

 

Nome da configuração

Descrição

Opções

Habilitar o HSTS (Segurança Rigorosa de Transporte)

Serve cabeçalhos de HSTS aos navegadores para todas as solicitações em HTTPS.

Desativado/ativado

Cabeçalho Max Age (max-age)

Especifica o período durante o qual um navegador deve implementar a política de HSTS e requer que o HTTPS esteja configurado corretamente no seu site.

Desativar,

ou um intervalo de 1 a 12 meses

Aplicar a política de HSTS aos subdomínios (includeSubDomains)

Aplica a política de HSTS de um domínio-mãe (exemplo.com) aos subdomínios(www.Development.exemplo.com ou API.exemplo.com).

Os subdomínios se tornarão inacessíveis caso não suportem HTTPS.

Desativado/ativado

Pré-carregamento

Permite que os navegadores pré-carreguem a configuração de HSTS automaticamente. Previne que um invasor rebaixe um primeiro formulário de solicitação em HTTPS para HTTP. Sem o pré-carregamento, o HSTS só será estabelecido após uma solicitação inicial em HTTPS bem-sucedida.

O pré-carregamento pode tornar um site sem suporte a HTTPS completamente inacessível.

Desativado/ativado

Cabeçalho No-Sniff

Envia o cabeçalho X-Content-Type-Options: nosniff para prevenir que os navegadores Internet Explorer e Chrome detectem automaticamente um content type que não seja o explicitamente especificado pelo cabeçalho Content-Type (tipo de conteúdo).

Desativado/ativado

10. Clique em Salvar.

Após o Pré-carregamento de HSTS ter sido configurado, envie solicitações para adicioná-lo à lista de pré-carregamento de cada navegador. O Chrome, o Firefox/Mozilla e o Safari usam a lista de pré-carregamento do Chrome. É necessário um Cabeçalho Max Age mínimo de 12 meses para a inclusão em listas de pré-carregamento de HSTS.
As ações listadas abaixo desabilitam o HTTPS e devem ser evitadas enquanto o HSTS estiver ativado.

Se o seu servidor web de origem não tiver um certificado SSL válido fornecido por uma Autoridade de Certificação, evite as seguintes ações:

Outras ações que devem ser evitadas incluem:

  • Redirecionar o HTTPS para HTTP
  • Carregar um certificado Custom SSL contendo:
    • certificados SSL inválidos
    • certificados expirados
    • hostnames discrepantes

Como desabilitar o HSTS

Se você remover o HTTPS antes de desativar o HSTS ou antes de aguardar o final do período estipulado no cabeçalho max-age original especificado em sua configuração de HSTS na Cloudflare, seu site se tornará inacessível aos visitantes pelo período estipulado no Cabeçalho Max Age ou até que você habilite o HTTPS.

Siga o procedimento abaixo para desabilitar o HSTS no seu domínio:

1. Faça o login no painel da Cloudflare.

2. Clique na conta Cloudflare correspondente ao domínio que já não precisa de HSTS.

3. Verifique se o domínio correto está selecionado.

4. Clique no aplicativo SSL/TLS da Cloudflare.

5. Clique em Ativar HSTS na seção HTTP Strict Transport Security (HSTS).

6. Uma janela de confirmação será exibida. Leia o conteúdo da advertência.

7. Clique em Entendi.

8. Clique em Avançar.

10. Configure o Cabeçalho Max Age como 0 (Desativar)


Recursos relacionados

Como implementar a política da web com o HSTS

 

 

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.