HSTS – механизм, отвечающий за принудительную активизацию защищённого соединения с использованием протокола HTTPS.
В подавляющем большинстве сайтов при использовании HTTPS не происходит переработка контента. Решить эту проблему, особенно если информация подана в смешанном виде можно как раз при помощи этого механизма. Под смешанной информацией подразумевается наличие вставок iframe, javascript со встроенными ссылками на страницу и указанием протокола HTTP.
Наглядным примером этого явления можно назвать открытие страницы сразу с использованием безопасного соединения.
Внедрение HSTS позволяет успешно бороться с атаками на сайт по типу SSL. Для браузера применяется 307 редирект, что исключает негативное влияние на поисковую оптимизацию. Это связано с тем, что краулер поисковиков получает стандартный ответ от сервера с кодом301.
При этом важно помнить, что это не настоящий редирект, а переадресация, а значит, например, Googlebot её не воспринимает и при сканировании перенаправление на защищённый протокол с сайта не произойдёт. Также механизм не оказывает помощь в поиске новых ссылок (Google).
Т.е. он является дополнительным инструментом, который должен находиться в тесном взаимодействии с настоящими редиректами. Только в этом случае можно быть уверенным в том, что пользователи смогут попасть на страницу HTTPS. Доступ к инструменту абсолютно бесплатный.
Для внедрения его в работу проще всего создать в файле .htaccess определенной директивы. Найти данный файл можно при помощи техподдержки хостинга. В .htaccess добавляется следующая строка:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Это позволит открывать запрашиваемые пользователем страницы через защищённое соединение.
Часто возникает вопрос, нужно ли добавлять сайт в hstspreload? Ответ на него отрицательный. Поскольку при добавлении в этот список происходит только одно изменение, а именно открытие сайта по защищённому протоколу при первом обращении к странице.
Проверить, функционирует ли механизм HSTS можно при помощи бесплатного сервиса - https://hstspreload.org/.
Нажимая кнопку вы даете информированное
согласие на обработку своих персональных данных