HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Reguła, którą Twoja witryna wysyła przeglądarkom, mówiąca „zawsze łącz się ze mną bezpiecznie” — zamykając lukę, którą napastnicy wykorzystują do przechwycenia tej pierwszej, niechronionej wizyty.

Czym to jest

HSTS to skrót od HTTP Strict Transport Security. To krótka instrukcja, którą Twoja witryna wysyła przeglądarce odwiedzającego przy pierwszym połączeniu, mówiąca: „Od teraz łącz się ze mną wyłącznie bezpiecznie — nigdy przez niechronione połączenie”. Przeglądarka zapamiętuje tę regułę i automatycznie egzekwuje ją przy każdej kolejnej wizycie.

Dlaczego to ważne dla Twojej firmy

Nawet gdy Twoja witryna ma ważny certyfikat, w tym pierwszym połączeniu — zanim włączy się wersja bezpieczna — kryje się odrobina ryzyka. Napastnik w tej samej sieci może wykorzystać ten moment, aby po cichu przekierować odwiedzającego na fałszywą lub niechronioną kopię Twojej witryny i przechwycić to, co wpisuje.

HSTS usuwa tę lukę. Gdy przeglądarka pozna już regułę, w ogóle odmawia łączenia się w sposób niebezpieczny — nie ma okienka, przez które napastnik mógłby się prześlizgnąć. Dla Twoich klientów jest to niewidoczne; dla Ciebie to ciche, jednorazowe wzmocnienie, które chroni każdą kolejną wizytę.

Jak to sprawdzić / co zrobić

Nasz darmowy tester powie Ci, czy HSTS jest włączone dla Twojej witryny. Jeśli nie jest, poradnik naprawy HSTS wyjaśnia, jak bezpiecznie je włączyć — to drobne ustawienie dodawane przez osobę zarządzającą Twoją witryną, i jest bezpłatne. (Najlepiej włączyć je dopiero wtedy, gdy witryna w pełni działa przez bezpieczne połączenie, o czym mówi poradnik).

Want to fix this on your own domain? See the free guide →