Salt la conținut
Securitate Web

Ce este HSTS?

Forteaza browserul sa foloseasca doar HTTPS

Definiție HSTS

HSTS (HTTP Strict Transport Security) este un antet de securitate care spune browserului: "De acum inainte, conecteaza-te la acest site DOAR prin HTTPS". Odata activat, browserul refuza automat orice conexiune necriptata (HTTP), chiar daca utilizatorul tasteaza adresa fara "https://".

E ca si cum ai spune postasului: "Toate scrisorile mele trebuie trimise doar prin curier securizat, niciodata prin posta normala."

De ce contează HSTS

Fara HSTS, prima vizita a utilizatorului poate fi interceptata prin atac man-in-the-middle inainte ca redirectul HTTP-HTTPS sa aiba loc. Atacatorul poate modifica traficul in acele milisecunde de conexiune nesecurizata, furt de sesiune sau injectie de continut malitios.

Cum verifici HSTS

SoftAudit verifica prezenta antetului Strict-Transport-Security, valoarea max-age (recomandat minim 31536000 — un an), directiva includeSubDomains si daca site-ul este inscris in HSTS Preload List a browserelor.

Verifică securitatea site-ului →

Greșeli frecvente

Setarea unui max-age prea mic (sub 6 luni) reduce eficienta protectiei. Alta eroare este sa activezi includeSubDomains fara sa verifici ca TOATE subdomeniile au certificate SSL valide — altfel devin inaccesibile.

Bune practici

Seteaza max-age la minim un an (31536000), activeaza includeSubDomains si preload, apoi inscrie domeniul in hstspreload.org. Testeaza mai intai cu max-age mic (300) pentru a evita blocarea accesului in caz de eroare.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica hsts pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este HSTS?

HSTS (HTTP Strict Transport Security) este un antet de securitate care spune browserului: "De acum inainte, conecteaza-te la acest site DOAR prin HTTPS". Odata activat, browserul refuza automat orice conexiune necriptata (HTTP), chiar daca utilizatorul tasteaza adresa fara "https://".

De ce este important HSTS pentru un website?

Fara HSTS, prima vizita a utilizatorului poate fi interceptata prin atac man-in-the-middle inainte ca redirectul HTTP-HTTPS sa aiba loc. Atacatorul poate modifica traficul in acele milisecunde de conexiune nesecurizata, furt de sesiune sau injectie de continut malitios.

Termeni asociați

Înapoi la glosarul complet