HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Una regola che il tuo sito invia ai browser dicendo «collegati a me sempre in modo sicuro» — chiudendo una falla che gli aggressori sfruttano per intercettare quella prima visita non protetta.

Che cos’è

HSTS sta per HTTP Strict Transport Security. È una breve istruzione che il tuo sito web invia al browser di un visitatore la prima volta che si collega, dicendo: «D’ora in poi, collegati a me solo ed esclusivamente in modo sicuro — mai su una connessione non protetta.» Il browser se la ricorda e la applica in automatico a ogni visita futura.

Perché conta per la tua azienda

Anche quando il tuo sito ha un certificato valido, in quella primissima connessione c’è un margine di rischio — prima che si attivi la versione sicura. Un aggressore sulla stessa rete può sfruttare quell’istante per dirottare silenziosamente un visitatore su una copia falsa o non protetta del tuo sito e catturare ciò che digita.

L’HSTS elimina quella falla. Una volta comunicata la regola al browser, esso si rifiuta del tutto di collegarsi in modo non sicuro — non c’è alcuna finestra in cui l’aggressore possa infilarsi. Per i tuoi clienti è invisibile; per te è un irrobustimento silenzioso, fatto una volta sola, che protegge ogni visita successiva.

Come capirlo / cosa fare

Il nostro strumento di verifica gratuito ti dice se l’HSTS è attivo sul tuo sito. Se non lo è, la guida alla correzione dell’HSTS spiega come abilitarlo in sicurezza — è una piccola impostazione aggiunta da chi gestisce il tuo sito web, ed è gratuita. (È meglio attivarlo solo quando il tuo sito funziona già completamente su connessione sicura, come spiega la guida.)

Want to fix this on your own domain? See the free guide →