A Microsoft anunciou nesta semana que o Internet Explorer suportará o padrão HSTS (HTTP Strict Transport Security) no Windows 10. O suporte também será incorporado ao navegador Spartan.
De acordo com a empresa, o suporte para o padrão HSTS no Internet Explorer já está disponível na versão Preview do Windows 10 e estará disponível em uma futura atualização para o navegador Spartan.
Mas o que é o padrão HSTS? Este padrão protege os usuários na Web contra diversos tipos de ataque que usam "intermediários" para interceptar ou interromper tráfego TLS.
Por exemplo, o usuário pode se conectar a um site não criptografado antes de ser redirecionado para a conexão segura. Neste caso, um criminoso pode explorar uma falha na conexão não criptografada para redirecionar o usuário para um site malicioso.
O padrão HSTS ajuda a prevenir este tipo de ataque ao permitir que os sites determinem que o navegador deve sempre usar criptografia na conexão ao servidor Web.
O padrão HSTS oferece dois métodos para que os sites possam proteger suas conexões:
O registro de uma lista de pré-carregamento: Os sites podem ser registrados para fazer com que o Internet Explorer e outros navegadores redirecionem tráfego HTTP para HTTPS.
O oferecimento de um cabeçalho HSTS: Sites que não estejam na lista de pré-carregamento podem habilitar o HSTS usando o cabeçalho Strict-Transport-Security.
Quando o usuário visitar um site e este exibir um erro de certificado, o usuário não poderá mais ignorar este erro e prosseguir para o site. A conexão será abortada.
Além disso, conteúdo misto não é suportado em servidores com HSTS. Todo conteúdo deve ser obrigatoriamente seguro.