HSTS что это? Особенности подключения. Как проверить?

HSTS – механизм, отвечающий за принудительную активизацию защищённого соединения с использованием протокола HTTPS.

HSTS - logo

Оказывает ли влияние HSTS на семантику

В подавляющем большинстве сайтов при использовании HTTPS? не происходит переработка контента. Решить эту проблему, особенно если информация подана в смешанном виде можно как раз при помощи этого механизма. Под смешанной информацией подразумевается наличие вставок iframe, javascript со встроенными ссылками на страницу и указанием протокола HTTP?. Наглядным примером этого явления можно назвать открытие страницы сразу с использованием безопасного соединения.

Внедрение HSTS позволяет успешно бороться с атаками на сайт по типу SSL?. Для браузера применяется 307 редирект, что исключает негативное влияние на поисковую оптимизацию. Это связано с тем, что краулер поисковиков получает стандартный ответ от сервера с кодом 301.

При этом важно помнить, что это не настоящий редирект, а переадресация, а значит, например, Googlebot её не воспринимает и при сканировании перенаправление на защищённый протокол с сайта не произойдёт. Также механизм не оказывает помощь в поиске новых ссылок (Google).

Т.е. он является дополнительным инструментом, который должен находиться в тесном взаимодействии с настоящими редиректами. Только в этом случае можно быть уверенным в том, что пользователи смогут попасть на страницу HTTPS. Доступ к инструменту абсолютно бесплатный.

Особенности подключения

Для внедрения его в работу проще всего создать в файле .htaccess определённой директивы. Найти данный файл можно при помощи техподдержки хостинга. В .htaccess добавляется следующая строка:


Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"


Это позволит открывать запрашиваемые пользователем страницы через защищённое соединение.

Также необходимо указать следующие параметры:

  • max-age=[значение] – позволяет задать время в секундах, в течение которого браузер будет открывать сайт исключительно через HTTPS.
  • includeSubDomains – опциональный параметр, содержащий данные о том, что применяются правила к поддоменам.

Часто возникает вопрос, нужно ли добавлять сайт в hstspreload? Ответ на него отрицательный. Поскольку при добавлении в этот список происходит только одно изменение, а именно открытие сайта по защищённому протоколу при первом обращении к странице.

HSTS – проверка работоспособности

Проверить, функционирует ли механизм HSTS можно при помощи бесплатного сервиса - https://hstspreload.org/внешняя ссылка.

Услуги, связанные с термином: