Как настроить HSTS в Open Server

[1000100]

Для тех, кто всерьез подходит к вопросам безопасности, как сайта, так и пользователей - технологии HSTS для этого и предназначены. Обойти шифрованное соединение через HSTS не удастся ни в одном из браузеров. Однако задействовать HSTS стоит лишь тогда, когда есть полная уверенность в правильной работе https-протокола на всех страницах ресурса.

HSTS — это алгоритм взаимодействия между браузером и сервером, при котором сайту присваивается статус защищенного на заданный период. Это делается с помощью заголовка HTTP Strict Transport Security. Он выдается при ответе сервера и указывает браузеру на необходимость постоянной автоматической переадресации на версию сайта под протоколом https.

Стоит учитывать, что первое соединение с сайтом не защищается, если оно произошло через протокол http. В большинстве случаев так и происходит: редирект на защищенную версию выполняется уже после первого перехода на сайт. Для решения этой проблемы был создан список Preload List от Google.

Не забывайте, что при активированном HSTS, если сертификат SSL окажется просроченным либо какие-то страницы ресурса не будут доступны по защищенному соединению — пользователь не получит доступ к ним.

При подключенной технологии в браузере пользователю будут показываться сайты, работающие исключительно по протоколу https. Даже если он введет в адресную строку домен через http, браузер автоматически перенаправит его на версию сайта с https.

И главное, как включить?



В конфигурации Apache после строки с содержимым: SSLEngine on



Прописываем:



Header always set Strict-Transport-Security "max-age=94608000; includeSubdomains; preload"



Где –



max-age=94608000 - временной промежуток действия HSTS в секундах.

includeSubdomains - технология HSTS распространяется на основной домен и его субдомены.

preload - указывает браузеру включение сайта в список Preload List.



ВНИМАНИЕ - выйти из Preload List теоретически невозможно! Практически проходят месяцы после запроса на удаление ресурса из Preload List.

Так же стоит отметить, что и Я и Google рекомендуют использовать HSTS.

[1000100]

Такое сообщение получит посетитель, если сертификат SSL окажется просроченным либо какие-то страницы ресурса не будут доступны по защищенному соединению.



Обращаю внимание! На поддомены сайта, механизм HSTS распространяется тоже.

Кнопки "Дополнительно" и ссылки "Перейти на сайт ваш_сайт.ru (небезопасно)" уже не будет, сайт останется недоступен до устранения причин ошибки.