Internet Explorer suportará o padrão HSTS no Windows 10

A Microsoft anunciou nesta semana que o Internet Explorer suportará o padrão HSTS (HTTP Strict Transport Security) no Windows 10. O suporte também será incorporado ao navegador Spartan.

IMAGEaHR0cDovL3d3dy5iYWJvby5jb20uYnIvd3AtY29udGVudC91cGxvYWRzLzIwMTUvMDIvaW50ZXJuZXQtZXhwbG9yZXItYmxhY2stbG9nby5qcGc=

De acordo com a empresa, o suporte para o padrão HSTS no Internet Explorer já está disponível na versão Preview do Windows 10 e estará disponível em uma futura atualização para o navegador Spartan.

Mas o que é o padrão HSTS? Este padrão protege os usuários na Web contra diversos tipos de ataque que usam "intermediários" para interceptar ou interromper tráfego TLS.

Por exemplo, o usuário pode se conectar a um site não criptografado antes de ser redirecionado para a conexão segura. Neste caso, um criminoso pode explorar uma falha na conexão não criptografada para redirecionar o usuário para um site malicioso.

O padrão HSTS ajuda a prevenir este tipo de ataque ao permitir que os sites determinem que o navegador deve sempre usar criptografia na conexão ao servidor Web.

IMAGEaHR0cDovL3dtcG93ZXJ1c2VyLmNvbS93cC1jb250ZW50L3VwbG9hZHMvMjAxNS8wMS9TUEFSVEFOLmpwZw==

O padrão HSTS oferece dois métodos para que os sites possam proteger suas conexões:

O registro de uma lista de pré-carregamento: Os sites podem ser registrados para fazer com que o Internet Explorer e outros navegadores redirecionem tráfego HTTP para HTTPS.

O oferecimento de um cabeçalho HSTS: Sites que não estejam na lista de pré-carregamento podem habilitar o HSTS usando o cabeçalho Strict-Transport-Security.

Quando o usuário visitar um site e este exibir um erro de certificado, o usuário não poderá mais ignorar este erro e prosseguir para o site. A conexão será abortada.

Além disso, conteúdo misto não é suportado em servidores com HSTS. Todo conteúdo deve ser obrigatoriamente seguro.