Zum Inhalt springen
Home » Sichern Sie Ihr Web: So halten Sie URLs bei CMS mit HSTS sicher und konform

Sichern Sie Ihr Web: So halten Sie URLs bei CMS mit HSTS sicher und konform

Was ist HTTP Strict Transport Security (HSTS)? 

HTTP Strict Transport Security (HSTS) ist eine Web-Sicherheitseinstellung, die dafür sorgt, dass Browser automatisch von HTTP auf HTTPS umgeleitet werden. HSTS hilft, Manipulator-in-the-Middle-Angriffe wie Cookie-Hijacking und Protokoll-Downgrade-Angriffe zu verhindern. Im OMB- Memo M-22-09 wurde gefordert, dass Behörden HSTS durchsetzen und Domänen zum Vorladen einreichen müssen . 

Was macht das Zero Trust Team? 

Das Zero Trust Team arbeitet daran, die nicht HSTS-konformen „cms.gov“-Websites, die Gründe dafür und die Möglichkeit einer HSTS-Konformität zu ermitteln. Wir nutzten ein Tool von Hardenize , um herauszufinden, welche URLs nicht HSTS-konform sind. Hardenize ist ein Tool, das die Netzwerk- und Sicherheitskonfiguration externer Websites gründlich prüft. Wir haben einige Gründe identifiziert, warum eine Website möglicherweise nicht HSTS-konform ist:  

  • die Website verwendet HTTP, aber nicht HTTPS
  • Das Zertifikat ist möglicherweise abgelaufen oder falsch konfiguriert
  • Der Höchstalterswert liegt unter den empfohlenen sechs Monaten
  • darf die Direktive „includeSubdomains“ nicht im HSTS-Header enthalten
  • Die Website ist HSTS-fähig, wurde aber nicht vorgeladen 

Das Zero Trust Team rief die URLs von Hardenize ab. Anschließend mussten wir deren Besitzer identifizieren und sie den FISMA-Systemen zuordnen. Eine Methode bestand darin, die URLs von Hardenize mit denen im System Census abzugleichen, der auch die entsprechenden Akronyme enthielt. Sobald wir das Akronym hatten, konnten wir den Besitzer in CFACTS identifizieren. Falls die URLs nicht im System Census enthalten waren, nutzten wir andere Datenquellen wie Confluence und Snowflake, um sie den FISMA-Systemen zuzuordnen.  

Hardenize identifizierte über 3.000 URLs, davon waren nur etwas mehr als 370 Webserver nicht HSTS-konform. Das Team hat ein Dashboard in Snowflake erstellt, um den HSTS-Status zu verfolgen und URLs FISMA-Systemen zuzuordnen. Zukünftig werden wir dieses Dashboard in Tableau integrieren und alle Informationen zentral bereitstellen. So können wir den Fortschritt der Websites bei der Erreichung der HSTS-Konformität verfolgen, während wir weiterhin URLs abgleichen. 

Fazit und nächste Schritte 

Durch die Einhaltung des OMB- Memo M-22-09 wird sichergestellt, dass jede Website über eine verbesserte Sicherheit verfügt. Dies wiederum hat Vorteile wie die Verhinderung von Manipulator-in-the-Middle-Angriffen und die Durchsetzung von HTTPS.  

Es kann einige Zeit dauern, aber das Zero Trust Team arbeitet fleißig daran, dieses Ziel zu erreichen, indem es URLs FISMA-Systemen zuordnet und Systembesitzer identifiziert. Sobald das Team alle nicht konformen Websites identifiziert hat, werden wir die Systembesitzer kontaktieren, um ihnen die Gründe für die Nichtkonformität und die Lösungsvorschläge zu erläutern. 

Damit eine Domain vorgeladen werden kann, müssen alle Subdomains HSTS-kompatibel sein. Wir brauchen die Mithilfe aller, um „cms.gov“ vorzuladen! Sie können überprüfen, ob Ihre Subdomain HSTS-kompatibel ist, indem Sie Hardenize aufrufen und Ihre Website eingeben. Die Ergebnisse werden links unter „Strict Transport Security“ angezeigt.