Pojem - Strict-Transport-Security

Bezpečnostní hlavička Strict-Transport-Security (HSTS) je bezpečnostní opatření, které informuje prohlížeč, aby komunikoval s webovým serverem výhradně přes protokol HTTPS (nikdy ne přes HTTP). Jejím cílem je zvýšit bezpečnost uživatelů tím, že eliminuje možnost připojení přes nezabezpečený protokol HTTP.

Proč je HSTS důležité?

• Zabraňuje útokům typu „man-in-the-middle“ (MITM):
  • Útočníci nebudou moci zachytit data přenášená přes HTTP, protože se vše automaticky přesměrovává na HTTPS
• Eliminuje riziko chybné konfigurace:
  • Pokud server omylem dovolí HTTP připojení, tak HSTS zabrání prohlížeči tuto chybu využít

Jak hlavičku Strict-Transport-Security nastavit?

U hlavičky lze nastavit následující možnosti:

max-age

• Doba (v sekundách), po kterou je HSTS aktivní. Prohlížeč si tuto hlavičku uloží do paměti na dobu určenou parametrem max-age
• Doporučuji nastavit ideálně jeden rok, což je 31536000s

includeSubDomains

• Tato volba zajišťuje, že HSTS se vztahuje i na všechny subdomény.
• Pokud máte například web www.vasweb.cz, HSTS se použije i na www.sub.vasweb.cz.
• Doporučuji nechat zaplé

preload

• Web může být zařazen do seznamu „HSTS Preload List“, který prohlížeče jako Chrome nebo Firefox využívají k automatické aplikaci HSTS, i když uživatel navštíví web poprvé. Aby byl web přidán, musí podporovat HSTS a splňovat určité požadavky.
• Osobně nechávám tuto možnost vypnutou

Na co si dát pozor

Než Strict-Transport-Security nastavíte, zkontrolujte, že celý váš web (včetně subdomén) podporuje HTTPS. Jinak se uživatelé na některé části webu nedostanou!