Налаштування HSTS

hsts

HSTS — це механізм, за допомогою якого список хостів, які хочуть примусово використовувати SSL/TLS на своєму сайті, вбудований у браузер. Цей список складений Google і використовується браузерами Chrome, Firefox і Safari.

Попереднє завантаження HSTS — це функція, вбудована в браузер, за допомогою якої глобальний список хостів забезпечує використання ЛИШЕ HTTPS на їхньому сайті. Цей список складено Chromium Project і використовується Chrome, Firefox і Safari. Ці сайти не залежать від видачі заголовків відповіді HSTS для забезпечення виконання політики.

Щоб бути прийнятим до списку попереднього завантаження HSTS, ваш сайт має відповідати наступному набору вимог: мати дійсний сертифікат, має бути налаштоване перенаправлення з HTTP на HTTPS на тому самому хості, якщо на сервері відкрито порт 80, всі субдомени мають працювати через HTTPS.

Налаштуйте хедер наступним чином:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Максимальний вік має бути не менше 31536000 секунд (1 рік).
Необхідно вказати директиву includeSubDomains.
Необхідно вказати директиву попереднього завантаження
.
Якщо ви обслуговуєте додаткове перенаправлення зі свого сайту HTTPS, це перенаправлення все ще має мати заголовок HSTS (а не сторінку, на яку воно перенаправляє).

Перевірити налаштування HSTS і відправити запит на додання до глобального списку хостів можна на сайті: https://hstspreload.org/

Схожі публікації