Mi az HSTS és hogyan aktiválható?
HSTS (HTTP Strict Transport Security) védi a webhelyeket a támadásoktól az HTTPS kapcsolatok kényszerítésével. Tudj meg többet arról, hogyan aktiválhatod és biztosíthatod a domained!
Az HSTS (HTTP Strict Transport Security) egy webes biztonsági mechanizmus, amely segít megvédeni a webhelyeket a "visszaesési protokoll" és a "sütihalászati" támadásoktól. Az HSTS használatával a webszerver tájékoztatja a webböngészőket, hogy azokon az oldalakon, ahol ez a mechanizmus engedélyezve van, a kapcsolatnak csak HTTPS-en keresztül kell létrejönnie, és soha sem HTTP-n, a HTTP-n keresztül tett kéréseket figyelmen kívül hagyva.
Mivel az első kapcsolatfelvételkor egy webkliens egy webhelyhez még nem tudja, hogy a kapcsolat HTTP-n vagy HTTPS-en keresztül fog-e történni, és vár a webserver utasításaira, még van lehetőség a kommunikációk elfogására. E kockázat kiküszöbölése érdekében, miután a HSTS aktiválva van, a domain bekerülhet a "előzetesen betöltött" weboldalak listájába. Így a domain neve a böngészőbe úgy kerül bevezetésre, mint ami csak HTTPS-en működik.
Figyelem: Miután hozzáadták a "pre-loading" listához, a weboldal már nem fog működni HTTP-n, csakis HTTPS-en.
További részletek a "preload" listákról és egy domain hozzáadásáról vagy eltávolításáról ezekből a listákból a következő linken olvashatók: https://hstspreload.org/.
A HSTS implementáció példája az Apache webserver .htaccess fájljában:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"