Kas yra HSTS ir kaip jį galima įjungti?
HSTS (HTTP Strict Transport Security) sau naudoja svetaines nuo atakų, priversdama naudoti HTTPS jungtis. Sužinok, kaip jį įjungti ir užtikrinti savo domeno saugumą!
HSTS (HTTP Griežta Transporto Saugumas) yra tinklo saugumo mechanizmas, kuris padeda apsaugoti svetaines nuo "žemėjimo protokolo" ir "slapukų pagrobimo" atakų. Naudodamasis HSTS, tinklo serveris informuoja tinklalapių naršykles, kad svetainėse, kuriose šis mechanizmas įjungtas, ryšys turi būti užtikrintas tik per HTTPS ir niekada per HTTP, o užklausos, pateiktos per HTTP, bus ignoruojamos.
Kadangi pirmą kartą prisijungus klientui prie svetainės, jis dar nežino, ar ryšys bus sukurtas per HTTP, ar HTTPS, ir laukia instrukcijų iš web serverio, vis dar yra galimybė perimti komunikaciją. Siekiant pašalinti ir šį pavojų, aktyvavus HSTS, domenas gali būti įtrauktas į "išankstinį įkrovimą" internetu. Taip, domeno pavadinimas bus įvestas į naršyklę kaip veikiantis tik per HTTPS.
Dėmesio: Po pridėjimo prie "išankstinio krovimo" sąrašo, svetainė nebeveiks per HTTP, tik per HTTPS.
Daugiau informacijos apie "įkrovimo" sąrašus ir domeno pridėjimą arba pašalinimą iš šių sąrašų galite rasti apsilankę: https://hstspreload.org/.
Pavyzdys HSTS įgyvendinimo .htaccess faile Apache žiniatinklio serveriui:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"