HSTS — це механізм, за допомогою якого список хостів, які хочуть примусово використовувати SSL/TLS на своєму сайті, вбудований у браузер. Цей список складений Google і використовується браузерами Chrome, Firefox і Safari.
Попереднє завантаження HSTS — це функція, вбудована в браузер, за допомогою якої глобальний список хостів забезпечує використання ЛИШЕ HTTPS на їхньому сайті. Цей список складено Chromium Project і використовується Chrome, Firefox і Safari. Ці сайти не залежать від видачі заголовків відповіді HSTS для забезпечення виконання політики.
Щоб бути прийнятим до списку попереднього завантаження HSTS, ваш сайт має відповідати наступному набору вимог: мати дійсний сертифікат, має бути налаштоване перенаправлення з HTTP на HTTPS на тому самому хості, якщо на сервері відкрито порт 80, всі субдомени мають працювати через HTTPS.
Налаштуйте хедер наступним чином:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Максимальний вік має бути не менше 31536000 секунд (1 рік).
Необхідно вказати директиву includeSubDomains.
Необхідно вказати директиву попереднього завантаження.
Якщо ви обслуговуєте додаткове перенаправлення зі свого сайту HTTPS, це перенаправлення все ще має мати заголовок HSTS (а не сторінку, на яку воно перенаправляє).
Перевірити налаштування HSTS і відправити запит на додання до глобального списку хостів можна на сайті: https://hstspreload.org/
