HTTP Strict Transport Security (HSTS) to dyrektywa serwera WWW, która informuje programy użytkownika i przeglądarki internetowe, jak obsługiwać połączenie za pomocą nagłówka odpowiedzi wysyłanego na samym początku i z powrotem do przeglądarki. Rozwiązanie to wymusza połączenie za pomocą szyfrowania HTTPS, jednocześnie blokując dostęp czy załadowanie dowolnego zasobu przez nieszyfrowane połączenie HTTP.
SPIS TREŚCI
HTTPS, HSTS – co to jest i jak działa?
Twoja strona internetowa jest zabezpieczona certyfikatem SSL i korzysta z bezpiecznego połączenia HTTPS. Użytkownicy witryny na pewno docenią ten fakt i będą czuli się bezpieczni, tak długo, jak Twoja witryna naprawdę korzysta z połączenia HTTPS. Jeśli jednak ten adres nie jest domyślny i wciąż można połączyć się z witryną za pomocą HTTP lub wywołać z niej wybrane skrypty i zasoby, okazuje się, że połączenie szyfrowane nie jest w pełni zapewnione.
Połączenie szyfrowane to jeden z elementów zabezpieczeń serwera WWW i witryny przed dostępem osób niepowołanych, jednocześnie jeden z wielu elementów rankingowych Google, będący częścią wyniku „jakości witryny”, w którym znajduje się także jej szybkość jak i responsywność. Wiele witryn, korzystających z połączenia HTTPS opiera jego działanie na przekierowaniu 301, co oznacza, że cała witryna działa na protokole nieszyfrowanym HTTP, a dopiero przekierowuje użytkownika do połączenia HTTPS z użyciem certyfikatu SSL.
Skorzystanie z HSTS pozwala wyeliminować tę „dziurę” jaką jest przekierowanie 301 i każdorazowo przy uruchamianiu strony internetowej, wymusza, aby wszystkie zasoby wczytywane były i udostępniane użytkownikom, wyłącznie za pomocą protokołu HTTPS i przy użyciu certyfikatu SSL.
Warunki uruchomienia HSTS
HSTS wymusza korzystanie z bezpiecznego połączenia HTTPS, więc warunkiem koniecznym do spełnienia jest posiadanie certyfikatu SSL dla Twojej domeny oraz jego instalacja i uruchomienie na stronie internetowej.
Jeśli witryna korzysta z przekierowań 301, upewnij się, że wszystkie linki HTTP są przekierowane do HTTPS. Jeśli przy tym korzystasz z subdomen do obsługi strony, która ma być docelowo chroniona, także powinieneś skorzystać z certyfikatu SSL, np. SSL Wildcard.
Jak włączyć HSTS w home.pl?
W celu uruchomienia HSTS na hostingu w home.pl skorzystaj z pliku .htaccess umieszczonego w katalogu strony internetowej. O tym jak utworzyć plik .htaccess dowiesz się z osobnego artykułu w Centrum Pomocy. Jeśli jest on już utworzony, po prostu edytuj go, dodając wpis:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"