Ce este HSTS și cum se poate activa ?

HSTS (HTTP Strict Transport Security) este un mecanism de securitate web care ajută la protejarea site-urilor împotriva atacurilor de tip "downgrade protocol" și "cookie hijacking". Prin utilizarea HSTS, serverul web declară browserelor web că pe site-urile unde acest mecanism este activat conexiunea trebuie să aibă loc doar prin HTTPS și niciodată prin HTTP, cererile făcute prin HTTP fiind ignorate.

Deoarece la prima conectare a unui client web către un site acesta nu știe încă dacă conexiunea va avea loc prin HTTP sau HTTPS și așteaptă instrucțiuni din partea serverului web, există încă posibilitatea unei interceptări a comunicațiilor. Pentru a elimina și acest risc, după activarea HSTS domeniul poate fi inclus în lista de "pre-încărcare" web. Astfel, numele domeniului va fi introdus în browser-ul web ca funcționând doar pe HTTPS.

Atenție: După introducerea în lista de "pre-încărcare", site-ul nu va mai funcționa pe HTTP, ci doar pe HTTPS.

Mai multe detalii privind listele de "pre-încărcare" și adăugarea sau înlăturarea unui domeniu din aceste liste pot fi citite accesând: https://hstspreload.org/.

Exemplu de implementare HSTS în fișierul .htaccess al serverului web Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"