Goed nieuws: Microsoft kondigt ondersteuning aan voor HTTP Strict Transport Security in Internet Explorer, wordt later toegevoegd aan Project Spartan

Microsoft heeft vandaag de ondersteuning aangekondigd voor: HTTP strikte transportbeveiliging (HSTS) in Internet Explorer. Dit maakt al deel uit van Internet Explorer in de technische preview van Windows 10 en zal in een latere update ook naar Project Spartan komen.

De HSTS-specificatie definieert een mechanisme waarmee websites zichzelf alleen toegankelijk kunnen verklaren via beveiligde verbindingen en/of dat gebruikers hun user agent(en) kunnen sturen om alleen via beveiligde verbindingen met bepaalde sites te communiceren. Dit algemene beleid wordt HTTP Strict Transport Security (HSTS) genoemd. Het beleid wordt door websites aangegeven via het veld Strict-Transport-Security HTTP-responsheader en/of op andere manieren, zoals bijvoorbeeld de configuratie van een user-agent.

Deze functie beschermt tegen varianten van man-in-the-middle-aanvallen die TLS uit de communicatie met een server kunnen halen, waardoor de gebruiker kwetsbaar wordt.

HSTS biedt twee methoden voor sites om hun verbindingen te beveiligen:

• Aanmelden voor een preloadlijst: websites kunnen zich registreren om hardgecodeerd te worden door IE en andere browsers om HTTP-verkeer om te leiden naar HTTPS. Communicatie met deze websites vanaf de eerste verbinding wordt automatisch geüpgraded om veilig te zijn. Net als andere browsers die deze functie hebben geïmplementeerd, is de preloadlijst van Internet Explorer gebaseerd op de Chromium HSTS-vooraflaadlijst.
• Een HSTS-header serveren: Sites die niet op de preload-lijst staan, kunnen HSTS inschakelen via de Strikte transportbeveiliging HTTP-header. Na een initiële HTTPS-verbinding van de client die de HSTS-header bevat, worden alle volgende HTTP-verbindingen door de browser omgeleid om via HTTPS te worden beveiligd.

Lees er meer over hier.