A Cloudflare oferece suporte à HTTP Strict Transport Security (HSTS) para ajudar a proteger seu servidor web HTTPS contra ataques de rebaixamento man-in-the-middle, como ataques de remoção de SSL.
Visão geral
O HSTS é uma tecnologia de segurança da web que protege os servidores web em HTTPS contra ataques de rebaixamento. Os ataques de rebaixamento (também conhecidos como ataques de remoção de SSL) são uma forma de ataque man-in-the-middle no qual um invasor redireciona navegadores da web de um servidor web HTTPS configurado corretamente para um servidor mal-intencionado.
O HSTS consiste em um cabeçalho HTTP com diversos parâmetros que ordena que os navegadores da web em conformidade:
- transformem todos os links HTTP em links HTTPS; e
- atualizem todas as advertências de SSL do navegador como erros que não podem ser contornados para que o site seja exibido.
Consulte os pré-requisitos antes de ativar o HSTS.
Pré-requisitos
Habilitar a HTTP Strict Transport Security (HSTS) aprimora a segurança do seu site. No entanto, você deve levar em conta alguns fatores importantes:
- Habilite o HTTPS antes de ativar o HSTS; caso contrário, os navegadores não conseguirão aceitar suas configurações de HSTS.
- Após o HSTS ter sido ativado, o HTTPS deverá permanecer habilitado ou os visitantes não conseguirão acessar o seu site.
Como habilitar o HSTS
Para ativar o HSTS:
1. Faça o login no painel da Cloudflare.
2. Clique na conta da Cloudflare correspondente ao domínio que requer HSTS.
3. Verifique se o domínio correto está selecionado.
4. Clique no aplicativo SSL/TLS da Cloudflare.
5. Clique em Ativar HSTS na seção HTTP Strict Transport Security (HSTS).
6. Uma janela de confirmação será exibida. Leia o conteúdo da advertência.
7. Para prosseguir, clique em Entendi.
8. Clique em Avançar.
9. Selecione as configurações de HSTS apropriadas para o seu domínio. No mínimo, configure o Cabeçalho Max Age para ativar o HSTS:
Nome da configuração | Descrição | Opções |
Habilitar o HSTS (Segurança Rigorosa de Transporte) | Serve cabeçalhos de HSTS aos navegadores para todas as solicitações em HTTPS. | Desativado/ativado |
Cabeçalho Max Age (max-age) | Especifica o período durante o qual um navegador deve implementar a política de HSTS e requer que o HTTPS esteja configurado corretamente no seu site. | Desativar, ou um intervalo de 1 a 12 meses |
Aplicar a política de HSTS aos subdomínios (includeSubDomains) | Aplica a política de HSTS de um domínio-mãe (exemplo.com) aos subdomínios(www.Development.exemplo.com ou API.exemplo.com). | Desativado/ativado |
Pré-carregamento | Permite que os navegadores pré-carreguem a configuração de HSTS automaticamente. Previne que um invasor rebaixe um primeiro formulário de solicitação em HTTPS para HTTP. Sem o pré-carregamento, o HSTS só será estabelecido após uma solicitação inicial em HTTPS bem-sucedida. | Desativado/ativado |
Cabeçalho No-Sniff | Envia o cabeçalho X-Content-Type-Options: nosniff para prevenir que os navegadores Internet Explorer e Chrome detectem automaticamente um content type que não seja o explicitamente especificado pelo cabeçalho Content-Type (tipo de conteúdo). | Desativado/ativado |
10. Clique em Salvar.
Se o seu servidor web de origem não tiver um certificado SSL válido fornecido por uma Autoridade de Certificação, evite as seguintes ações:
- Marcar o domínio com uma nuvem cinza por meio do aplicativo de DNS da Cloudflare
- Pausar o serviço da Cloudflare por meio do aplicativo Overview da Cloudflare
- Apontar para nameservers que desviem o acesso da Cloudflare
Outras ações que devem ser evitadas incluem:
- Redirecionar o HTTPS para HTTP
- Carregar um certificado Custom SSL contendo:
- certificados SSL inválidos
- certificados expirados
- hostnames discrepantes
Como desabilitar o HSTS
Siga o procedimento abaixo para desabilitar o HSTS no seu domínio:
1. Faça o login no painel da Cloudflare.
2. Clique na conta Cloudflare correspondente ao domínio que já não precisa de HSTS.
3. Verifique se o domínio correto está selecionado.
4. Clique no aplicativo SSL/TLS da Cloudflare.
5. Clique em Ativar HSTS na seção HTTP Strict Transport Security (HSTS).
6. Uma janela de confirmação será exibida. Leia o conteúdo da advertência.
7. Clique em Entendi.
8. Clique em Avançar.
10. Configure o Cabeçalho Max Age como 0 (Desativar)
Recursos relacionados
Como implementar a política da web com o HSTS