HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Uma regra que o seu site envia aos navegadores a dizer «liga-te sempre a mim de forma segura» — fechando uma brecha que os atacantes usam para intercetar aquela primeira visita desprotegida.

O que é

HSTS significa HTTP Strict Transport Security (Segurança de Transporte Estrita HTTP). É uma instrução curta que o seu site envia ao navegador de um visitante na primeira vez que este se liga, a dizer: «A partir de agora, liga-te a mim apenas de forma segura — nunca por uma ligação desprotegida.» O navegador memoriza isto e aplica-o automaticamente em todas as visitas futuras.

Porque importa para o seu negócio

Mesmo quando o seu site tem um certificado válido, há uma pequena fresta de risco naquela primeira ligação — antes de a versão segura entrar em ação. Um atacante na mesma rede pode aproveitar esse momento para, sem alarde, encaminhar um visitante para uma cópia falsa ou desprotegida do seu site e capturar o que ele escreve.

O HSTS elimina essa brecha. Uma vez que o navegador recebe a regra, recusa-se a ligar-se de forma insegura — não há janela por onde o atacante se possa infiltrar. Para os seus clientes é invisível; para si é um reforço discreto, feito uma só vez, que protege todas as visitas seguintes.

Como saber / o que fazer

O nosso verificador gratuito diz-lhe se o HSTS está ativado no seu site. Se não estiver, o guia de correção do HSTS explica como ativá-lo em segurança — é uma pequena configuração adicionada por quem gere o seu site, e é gratuita. (É melhor ativá-lo apenas quando o seu site já funciona totalmente por uma ligação segura, algo que o guia aborda.)

Want to fix this on your own domain? See the free guide →