Notatki
HSTS (Strict-Transport-Security) — moje podsumowanie
naglowek hsts · strict transport security polska · wymusz https hsts
Co robi naglowek Strict-Transport-Security, max-age i jak sprawdzic HSTS weryfikatorem naglowkow HTTP.
HSTS mowi przegladarce «tylko HTTPS dla tego hosta przez N sekund». Pomaga przeciw atakom typu sslstrip przy pierwszej wizycie, jesli skonfigurowany poprawnie.
Potrzebujesz dzialajacego HTTPS PRZED wlaczeniem dlugiego max-age. Na slajdzie bylo zaczac od max-age=300 do testow.
Weryfikacja «naglowek hsts» w narzedziu pokazuje, czy naglowek jest obecny i czasem flagi preload.
Lista preload jest osobna — zgloszenie domeny to powazne zobowiazanie. Nie robilismy tego na darmowym subdomenie.
Jesli HSTS jest aktywny i cert sie psuje, uzytkownicy nie przejda latwo — napraw cert najpierw, potem HSTS. Nauczylem sie tego na demo przez blad.