Defaults.Exposed › Remedieri › HSTS (Strict-Transport-Security)
Cum să remediezi HSTS (Strict-Transport-Security)
HSTS este o instrucțiune pe o linie pe care site-ul tău o dă fiecărui browser: 'întoarce-te întotdeauna la mine prin conexiunea securizată și criptată — niciodată prin cea nesigură.' Fără ea, lacătul tău poate fi eliminat în tăcere pe Wi-Fi-ul partajat, iar prima vizită la site-ul tău este expusă.
Concluzia pentru afacerea ta: A avea HTTPS (lacătul) nu este același lucru cu a-l aplica. Fără HSTS, un atacator de pe același Wi-Fi ca și clientul tău poate reduce în tăcere conexiunea la HTTP simplu necriptat — capturând autentificări, detalii de card și date de formular în timp ce clientul nu vede nimic greșit. Certificatul tău SSL, pentru care poate plătești, este ocolit. Remedierea este gratuită și durează aproximativ 15 minute pentru cel care rulează site-ul tău.
Ce te poate costa
- Clienții din cafenele, hoteluri, aeroporturi sau Wi-Fi de conferință pot avea conexiunea la site-ul tău redusă în tăcere și datele lor citite — fără niciun avertisment pe ecranul lor.
- Ai plătit pentru HTTPS și ai lacătul, dar fără HSTS atacatorii pot pur și simplu să ocolească; certificatul oferă un fals sentiment de siguranță.
- Prima vizită la site-ul tău (înainte de orice redirecționare la HTTPS) este punctul slab pe care atacatorii îl vizează — HSTS este ceea ce îl închide pentru fiecare vizită de reîntoarcere.
- Un chestionar de securitate, un formular de asigurare cibernetică sau o listă de verificare a unui cumpărător enterprise semnalează 'fără HSTS' și blochează tranzacția până este remediat.
- Setează valoarea greșit (prea scurt) și obții ce e mai rău din ambele lumi: pare configurat dar oferă aproape nicio protecție reală.
De ce contează. HTTPS protejează o conexiune odată ce este criptată — dar nu forțează browserele să o folosească. Atacatorii exploatează acel decalaj cu 'SSL stripping': pe orice rețea partajată țin în tăcere vizitatorul pe HTTP nesigur, citind totul. HSTS spune browserului să refuze HTTP simplu pentru domeniul tău în totalitate, pentru o perioadă lungă, astfel că decalajul se închide după prima vizită. Este un singur antet de răspuns, gratuit de adăugat, și pe notarea noastră valorează puncte reale deoarece o valoare lipsă sau prea scurtă lasă fiecare vizitator pe Wi-Fi public expus.
Ce este, în cuvinte simple
Aproape sigur ai HTTPS — micul lacăt în bara browserului. Bine. Dar iată componenta pe care aproape nimeni nu o spune: a avea HTTPS nu este același lucru cu a-l forța.
HTTPS face o conexiune criptată odată ce browserul decide să o folosească. HSTS — abreviere de la HTTP Strict Transport Security — este instrucțiunea care face browserul întotdeauna să o folosească. Este o linie unică, invizibilă pe care site-ul tău o trimite fiecărui vizitator care spune, în esență:
“De acum încolo, pentru domeniul meu, vorbește cu mine numai prin conexiunea securizată. Niciodată prin cea nesigură. Nu încerca măcar.”
Browserul își amintește asta și respectă pentru atât timp cât îi spui — de obicei un an. După prima vizită securizată a vizitatorului, browserul lor va refuza pur și simplu să încarce site-ul tău prin HTTP simplu necriptat, chiar dacă ceva încearcă să îl forțeze.
Fără HSTS, acea regulă “folosește întotdeauna versiunea securizată” nu există — și atacatorii știu exact cum să exploateze decalajul.
Ce te poate costa
Acestea sunt scenarii realiste de zi cu zi. Nu numim niciodată o afacere reală; acestea sunt ilustrații ale modului în care decalajul este folosit.
-
Checkout-ul de la cafenea. Un client îți deschide magazinul pe Wi-Fi de cafenea și merge să finalizeze comanda. Un atacator de pe aceeași rețea rulează un instrument gratuit, bine-cunoscut care îl menține pe client pe HTTP simplu în loc de HTTPS. Clientul vede ce pare a fi site-ul tău normal — niciun avertisment, niciun lacăt spart — și tastează detaliile cardului. Atacatorul citește fiecare apăsare de tastă. Certificatul tău SSL nu a făcut nimic, deoarece conexiunea nu a putut niciodată deveni securizată în primul rând.
-
Angajatul care călătorește. Un angajat se autentifică în panoul tău de administrare sau webmail de la un hotel sau aeroport. Același truc de retrogradare captează numele de utilizator și parola. Acum atacatorul are o cale în afacerea ta.
-
Tranzacția care se blochează. Un client mai mare îți trimite chestionarul standard de securitate înainte de semnare. O linie întreabă: “Aplică site-ul tău HTTPS prin HSTS?” Contactul tău IT trebuie să răspundă “nu,” iar procesul de achiziție se pauzeay în timp ce te grăbești să remediezi o setare gratuită de 15 minute care acum apare ca un semnal de alarmă în fața unui cumpărător.
-
Verificarea de asigurare cibernetică sau conformitate. O scanare de asigurător sau un auditor care revizuiește postura ta de protecție a datelor semnalează antetul lipsă. Criptarea datelor cu caracter personal este o așteptare explicită în cadrul regulilor de protecție a datelor (GDPR Articolul 32), iar “avem un certificat dar nu îl aplicăm” este un loc slab unde să te afli.
-
Falsa senzație de securitate. Plătești pentru SSL, lacătul arată, și toată lumea presupune că site-ul este sigur. Cel mai mult este — până când un client este pe o rețea partajată, ceea ce este exact când este cel mai vulnerabil și cel mai puțin probabil să observe că ceva nu este în regulă.
Costul nu este abstract. Este cardul sau autentificarea unui client real, capturată la cel mai prost moment posibil, fără niciun semnal de alarmă.
Ce este de fapt
Când un browser îți solicită site-ului o pagină, serverul tău trimite înapoi pagina plus câteva “anteturi” invizibile — instrucțiuni suplimentare pe care browserul le citește dar vizitatorul nu le vede niciodată. HSTS este unul din acele antete:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Trei componente contează:
max-age— cât timp (în secunde) browserul ar trebui să-și amintească să forțeze HTTPS.31536000este un an. Acesta este miezul: prea scurt și aproape că nu ajută.includeSubDomains— extinde regula la fiecare subdomeniu (shop.,app.,mail.etc.), nu numai la adresa ta principală.preload— optează domeniul tău în o listă principală integrată în browsere, astfel că protecția se aplică chiar și la prima cerere a unui vizitator, înainte de a-ți fi văzut vreodată site-ul.
De ce “prima vizită” contează
HSTS are o limitare inerentă: un browser respectă regula după ce a văzut antetul cel puțin o dată. Deci prima conexiune a unui vizitator complet nou este în continuare o mică fereastră de expunere. Două lucruri o reduc: o redirecționare HTTP-la-HTTPS (care îi aduce rapid pe versiunea securizată) și preload (care elimină complet fereastra).
Cum arată “bine” — și cum se notează
Verificarea noastră citește antetul tău live și notează max-age:
| Valoarea max-age | Ce înseamnă | Rezultat |
|---|---|---|
| 1 an sau mai mult (≥ 31536000) | Excelent — setarea recomandată | Punctaj complet |
| 6 luni sau mai mult (≥ 15768000) | Bun, dar nu un an complet | Parțial |
| 1 zi sau mai mult (≥ 86400) | Slab — prea scurt pentru a fi fiabil | Scăzut / parțial |
| Sub 1 zi sau niciun antet | Efectiv nicio protecție | Eșec (severitate ridicată) |
Deci un antet care există dar este setat la câteva minute este tratat ca un eșec — pare configurat dar nu face treaba. Țintește spre un an.
Cum se remediază (gratuit, ~15 minute)
Predă această secțiune celui care rulează site-ul tău — persoana IT, dezvoltatorul web sau suportul de găzduire. Remedierea este gratuită. Este un singur antet sau un comutator în platforma ta de găzduire. Nu există nimic de cumpărat.
O regulă importantă de ordonare mai întâi: HSTS este lipicios — odată activat, browserele vor refuza HTTP simplu pentru domeniul tău pentru întregul max-age. Deci confirmă că HTTPS funcționează corect pe site-ul principal și pe fiecare subdomeniu înainte de a-l activa pe scară largă. Calea sigură este: testează cu o valoare scurtă → confirmă că nimic nu se strică → ridică la un an.
Pasul 1 — Asigură-te că HTTPS funcționează deja peste tot
Vizitează site-ul tău și subdomeniile cheie peste https:// și confirmă că se încarcă curat cu un certificat valid. Confirmă de asemenea că cererile http:// simple redirecționează la https://.
Pasul 2 — Adaugă antetul (alege platforma)
Cloudflare (sau CDN similar): Aceasta este cea mai ușoară. Mergi la SSL/TLS → Certificate de margine → HTTP Strict Transport Security (HSTS) și activează-l. Setează Max-Age la 6 luni sau 12 luni, și activează “Aplică politica HSTS subdomeniilor” odată ce ești sigur că toate subdomeniile sunt pe HTTPS.
Nginx: adaugă în interiorul blocului server HTTPS:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Apache: asigură-te că mod_headers este activat, apoi adaugă la gazda ta virtuală HTTPS:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Microsoft IIS: adaugă la web.config în interiorul <customHeaders>:
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
Notă Google Workspace / Microsoft 365: acestea îți alimentează email-ul, nu găzduirea site-ului tău web — HSTS este setat acolo unde se află efectiv site-ul tău public (CDN-ul tău, serverul web sau constructorul de site-uri), nu în Workspace/365 admin.
Pasul 3 — Testează mic, apoi comite
Începe cu max-age=300 (5 minute). Confirmă că site-ul se încarcă perfect peste tot. Apoi ridică la max-age=31536000 (un an). Aceasta este setarea cu punctaj complet.
Pasul 4 (opțional, standard de aur) — preload
Odată ce ești sigur și ai rulat un antet de un an cu includeSubDomains pentru o vreme, poți trimite domeniul la hstspreload.org pentru a fi integrat în browsere. Tratează-l ca un angajament deliberat — eliminarea unui domeniu din listă este lentă.
Greșeli comune
- Setarea
max-ageprea scurt. O valoare de câteva minute sau ore pare configurată dar oferă aproape nicio protecție — și verificarea noastră tratează orice sub o zi ca un eșec. Folosește un an. - Activând
includeSubDomainsînainte că subdomeniile sunt HTTPS-gata. Dacă un subdomeniu nu este complet pe HTTPS, regula lipicioasă îl poate face inaccesibil pentru vizitatori. Adă mai întâi fiecare subdomeniu pe HTTPS. - Adăugând HSTS dar neavând nicio redirecționare HTTP-la-HTTPS. HSTS presupune că vizitatorii ajung la versiunea securizată; fără redirecționare, prima vizită este inutil expusă. Remediază ambele împreună.
- Sărind direct la
preloadpentru a fi “amănunțit.” Preload este greu de anulat. Câștigă-l treptat după un antet stabil de un an — nu te grăbi. - Presupunând că lacătul înseamnă că ești acoperit. Lacătul și HSTS sunt lucruri diferite. Poți avea un certificat perfect și tot eșua această verificare.
Întrebări frecvente
Avem deja HTTPS și lacătul arată. Nu este suficient?
Nu — și aceasta este cea mai frecventă neînțelegere unică. Lacătul înseamnă că o conexiune POATE fi criptată; nu forțează browserele să folosească versiunea criptată. Fără HSTS, un atacator de pe aceeași rețea poate ține un vizitator pe HTTP simplu (numit SSL stripping) și citi tot ce tastează, în timp ce clientul vede un site cu aspect normal. HSTS este instrucțiunea care face 'numai criptat' obligatoriu. HTTPS fără HSTS este o ușă închisă care nu este de fapt zăvorâtă.
Este scump sau riscant de activat?
Remedierea în sine este gratuită — este o linie în serverul tău web sau un comutator în CDN-ul tău — și durează aproximativ 15 minute. Singura precauție reală: HSTS este lipicioasă. Odată ce un browser o vede, va refuza HTTP simplu pentru domeniul tău pentru atât timp cât ai specificat. Deci trebuie să fii sigur că HTTPS funcționează pe site-ul tău principal ȘI pe fiecare subdomeniu înainte de a-l activa pe scară largă. Începe cu o valoare de test scurtă, confirmă că nimic nu se strică, apoi ridic-o la un an. Făcut în acea ordine, riscul este neglijabil.
Cum arată de fapt 'bine'?
Un max-age de cel puțin un an (31536000 secunde). Verificarea noastră acordă punctaj complet la un an sau mai mult, punctaj parțial la șase luni, slab/parțial la o zi și tratează orice sub o zi ca efectiv absent. Cea mai puternică configurare adaugă de asemenea includeSubDomains (acoperă shop.siteultau.com, app.siteultau.com etc.) și preload (acreditează protecția în browsere astfel că chiar și prima vizită este sigură).
Ce este 'preload' și avem nevoie de el?
HSTS protejează un vizitator DUPĂ ce browserul lor a văzut antetul cel puțin o dată — deci prima cerere a unui vizitator complet nou este în continuare o mică fereastră. Lista de preîncărcare HSTS, integrată în Chrome, Firefox, Safari și Edge, închide acea fereastră trimițând domeniul tău la browsere în avans. Este opțional și un angajament puțin mai mare (eliminarea este lentă), dar este standardul de aur. Pentru cele mai multe afaceri mici, un max-age de un an cu includeSubDomains este deja un rezultat puternic și sigur; preload este pasul suplimentar odată ce ești stabilit.
Suntem pe Squarespace / Wix / Shopify — trebuie să facem ceva?
Cele mai multe constructori de site-uri complet găzduite (Squarespace, Wix, Shopify și similare) aplică HTTPS și adesea setează HSTS pentru tine automat — deci poate deja treci fără să faci nimic. Excepția este când folosești un domeniu personalizat sau un CDN în fața site-ului tău; atunci setarea poate cădea prin fisuri. Rulează verificarea: dacă trece, ai terminat. Dacă semnalează, remedierea este comutatorul din setările SSL/securitate ale platformei tale.
Dacă nu remediem, scade nota noastră?
Da. HSTS este o verificare de securitate web notată, nu informațională — un antet lipsă sau prea scurt costă puncte și este cotat cu severitate ridicată, deoarece expune direct datele vizitatorilor tăi pe rețele partajate. Este de asemenea unul din cele mai ieftine puncte de recuperat: un singur antet gratuit, aproximativ 15 minute de muncă.