Ce este HSTS?
Forteaza browserul sa foloseasca doar HTTPS
Definiție HSTS
HSTS (HTTP Strict Transport Security) este un antet de securitate care spune browserului: "De acum inainte, conecteaza-te la acest site DOAR prin HTTPS". Odata activat, browserul refuza automat orice conexiune necriptata (HTTP), chiar daca utilizatorul tasteaza adresa fara "https://".
E ca si cum ai spune postasului: "Toate scrisorile mele trebuie trimise doar prin curier securizat, niciodata prin posta normala."
De ce contează HSTS
Fara HSTS, prima vizita a utilizatorului poate fi interceptata prin atac man-in-the-middle inainte ca redirectul HTTP-HTTPS sa aiba loc. Atacatorul poate modifica traficul in acele milisecunde de conexiune nesecurizata, furt de sesiune sau injectie de continut malitios.
Cum verifici HSTS
SoftAudit verifica prezenta antetului Strict-Transport-Security, valoarea max-age (recomandat minim 31536000 — un an), directiva includeSubDomains si daca site-ul este inscris in HSTS Preload List a browserelor.
Verifică securitatea site-ului →Greșeli frecvente
Setarea unui max-age prea mic (sub 6 luni) reduce eficienta protectiei. Alta eroare este sa activezi includeSubDomains fara sa verifici ca TOATE subdomeniile au certificate SSL valide — altfel devin inaccesibile.
Bune practici
Seteaza max-age la minim un an (31536000), activeaza includeSubDomains si preload, apoi inscrie domeniul in hstspreload.org. Testeaza mai intai cu max-age mic (300) pentru a evita blocarea accesului in caz de eroare.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica hsts pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este HSTS?
HSTS (HTTP Strict Transport Security) este un antet de securitate care spune browserului: "De acum inainte, conecteaza-te la acest site DOAR prin HTTPS". Odata activat, browserul refuza automat orice conexiune necriptata (HTTP), chiar daca utilizatorul tasteaza adresa fara "https://".
De ce este important HSTS pentru un website?
Fara HSTS, prima vizita a utilizatorului poate fi interceptata prin atac man-in-the-middle inainte ca redirectul HTTP-HTTPS sa aiba loc. Atacatorul poate modifica traficul in acele milisecunde de conexiune nesecurizata, furt de sesiune sau injectie de continut malitios.