Co to jest HSTS i jak można go aktywować?

HSTS (HTTP Strict Transport Security) to mechanizm bezpieczeństwa w sieci, który pomaga chronić strony internetowe przed atakami typu "downgrade protocol" oraz "cookie hijacking". Poprzez wykorzystanie HSTS, serwer internetowy deklaruje przeglądarkom internetowym, że na stronach, na których ten mechanizm jest aktywowany, połączenie musi odbywać się wyłącznie przez HTTPS i nigdy przez HTTP, a żądania złożone za pomocą HTTP są ignorowane.

Ponieważ podczas pierwszego połączenia klienta internetowego z witryną nie wie jeszcze, czy połączenie odbędzie się przez HTTP czy HTTPS i czeka na instrukcje z serwera internetowego, wciąż istnieje możliwość przechwycenia komunikacji. Aby wyeliminować to ryzyko, po aktywacji HSTS, domena może być dodana do listy "pre-ładania" w sieci. W ten sposób nazwa domeny zostanie wprowadzona do przeglądarki internetowej jako działająca tylko na HTTPS.

Uwaga: Po dodaniu do listy "pre-ładowania" strona nie będzie działać na HTTP, tylko na HTTPS.

Więcej informacji na temat list "pre-ładowania" oraz dodawania lub usuwania domeny z tych list można znaleźć pod adresem: https://hstspreload.org/.

Przykład implementacji HSTS w pliku .htaccess serwera webowego Apache:

Nagłówek zawsze ustawiaj Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"