Note di studio
HSTS (Strict-Transport-Security) — il mio riepilogo
intestazione hsts · strict transport security · forza https hsts
Cosa fa l'intestazione Strict-Transport-Security, max-age e come verificare HSTS con un checker di intestazioni HTTP.
HSTS dice al browser «solo HTTPS per questo host per N secondi». Aiuta contro attacchi tipo sslstrip alla prima visita se configurato correttamente.
Hai bisogno che HTTPS funzioni PRIMA di abilitare un max-age lungo. La nostra slide diceva di iniziare piccolo come max-age=300 per i test.
Il «controllo intestazione hsts» in uno strumento mostra se l'intestazione è presente e i flag preload a volte.
La lista preload è separata — inviare il dominio è un impegno serio. Non lo abbiamo fatto sul sottodominio gratuito.
Se HSTS è attivo e il certificato si rompe, gli utenti non possono fare clic facilmente attraverso l'avviso — correggi prima il certificato, poi HSTS. Imparato da un errore in una demo.