Notas de estudo
HSTS (Strict-Transport-Security) — meu resumo
cabeçalho hsts · strict transport security brasil · forçar https hsts
O que o cabeçalho Strict-Transport-Security faz, max-age e como verificar HSTS com um verificador de cabeçalhos HTTP.
HSTS diz ao navegador «apenas HTTPS para este host por N segundos». Ajuda contra ataques tipo sslstrip na primeira visita se configurado corretamente.
Você precisa de HTTPS funcionando ANTES de habilitar max-age longo. Nosso slide dizia para começar pequeno como max-age=300 para testes.
Verificação de «cabeçalho hsts» em uma ferramenta mostra se o cabeçalho está presente e às vezes as flags de preload.
Lista de preload é separada — submeter o domínio é um compromisso sério. Não fizemos isso em subdomínio gratuito.
Se HSTS está ativo e o cert quebra, os usuários não conseguem passar facilmente — corrija o cert primeiro, depois HSTS. Aprendi com um erro em demo.