В отчете об исследовании, проведенном компанией Netcraft, говорится, что 95% всех HTTPS-серверов в мире вообще не пользуются механизмом HSTS (HTTP Strict Transport Security) или же он неправильно настроен, вследствие чего защищенный трафик становится уязвимым для разных типов атак.
Сейчас поддержка механизма HSTS присутствует во всех популярных браузерах, включая Chrome, Firefox, Internet Explorer 11, Microsoft Edge, Opera и Safari. Задачей данного инструмента является принудительная активация защищенного соединения с применением протокола HTTPS вместо HTTP. HSTS помогает администраторам сайтов предотвращать различную вредоносную активность, в том числе манипуляции с cookie и атаки типа man-in-the-middle.
Но в отчете, подготовленном специалистами Netcraft, указано, что HSTS используется лишь в 5% из всех HTTPS-серверов, изученных экспертами. Стоит отметить, что эксперты проводили такой же анализ три года назад, и за данный период не произошло никаких изменений. Очень мало администраторов применяют HSTS по назначению и без ошибок конфигурации. Специалисты Netcraft называют данный факт свидетельством того, что не все администраторы знакомы с данным механизмом или они просто не хотят им пользоваться.
Для того, чтобы объяснить важность использования HSTS, специалисты Netcraft добавили в свой отчет описание простейшего сценария атаки на сайт. Злоумышленнику нужно лишь набрать в адресной строке браузера адрес сайта, добавив перед ним http://. Без HSTS сайт может открыться через HTTP, что даст хакеру возможность проводить разнообразные атаки на ресурс. По словам экспертов Netcraft, на многих сайтах применяется автоматическая переадресация с HTTP на HTTPS, однако этот механизм превращает данные порталы в потенциальные цели для атак типа man-in-the-middle.
Как утверждают специалисты Netcraft, HSTS не применяется на многих сайтах банков и платежных систем.