Какво е HSTS и как може да бъде активиран?

HSTS (HTTP Strict Transport Security) е механизъм за уеб сигурност, който помага за защита на уебсайтове от атаки "понижаващ протокол" и "кражба на бисквитки". Чрез използване на HSTS, уеб сървърът информира уеб браузърите, че на сайтове, където този механизъм е активиран, връзката трябва да се осъществява само чрез HTTPS и никога чрез HTTP, като заявките, направени чрез HTTP, се игнорират.

Тъй като при първото свързване на уеб клиент към сайт, той все още не знае дали връзката ще се осъществи чрез HTTP или HTTPS и изчаква указания от уеб сървъра, все още съществува възможност за прихващане на комуникацията. За да се елиминира и този риск, след активиране на HSTS, домейнът може да бъде включен в списъка за "предварително зареждане" в мрежата. По този начин, името на домейна ще бъде въведено в уеб браузъра като функциониращо само по HTTPS.

Внимание: След като бъде добавен в списъка за "предварително зареждане", уебсайтът вече няма да функционира на HTTP, а само на HTTPS.

Повече информация относно списъците за "предварително зареждане" и добавянето или премахването на домейн от тези списъци можете да прочетете на: https://hstspreload.org/.

Пример за внедряване на HSTS в .htaccess файла на Apache уеб сървъра:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"