Kas ir HSTS un kā to var aktivizēt?

HSTS (HTTP Strict Transport Security) ir tīmekļa drošības mehānisms, kas palīdz aizsargāt vietnes pret "nolaidības protokola" un "sīkdatņu nozagšanas" uzbrukumiem. Izmantojot HSTS, tīmekļa serveris informē tīmekļa pārlūkprogrammas, ka vietnēs, kur šis mehānisms ir iespējots, savienojumam jānotiek tikai caur HTTPS un nekad caur HTTP, ar pieprasījumiem, kas veikti, izmantojot HTTP, tiek ignorētiem.

Ņemot vērā, ka, pirmo reizi klienta tīmekļa savienojot ar vietni, tas vēl nezina, vai savienojums notiks, izmantojot HTTP vai HTTPS, un gaida norādījumus no tīmekļa servera, pastāv iespēja, ka sakari tiek pārķerti. Lai novērstu šo risku, pēc HSTS aktivizēšanas domēnu var iekļaut "priekš-iekraušanā" tīmeklī. Tādējādi domēna nosaukums tiks ievadīts tīmekļa pārlūkprogrammā, darbojoties tikai ar HTTPS.

Uzmanību: Pievienojot vietni "iepriekšējās ielādes" sarakstam, vietne vairs nedarbosies uz HTTP, bet tikai uz HTTPS.

Vairāk informācijas par "iepriekšējām" sarakstiem un domēna pievienošanu vai noņemšanu no šiem sarakstiem var izlasīt, apmeklējot: https://hstspreload.org/.

HSTS ieviešanas piemērs Apache tīmekļa servera .htaccess failā:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"