HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Правило, которое ваш сайт передаёт браузерам: «всегда подключайся ко мне только по защищённому соединению». Оно закрывает лазейку, через которую злоумышленники перехватывают тот самый первый, ещё незащищённый визит.

Что это

HSTS расшифровывается как HTTP Strict Transport Security (строгая защита транспортного уровня). Это короткое указание, которое ваш сайт передаёт браузеру посетителя при первом подключении: «отныне подключайся ко мне только защищённым способом — никогда по незащищённому соединению». Браузер запоминает это и автоматически соблюдает при каждом следующем визите.

Почему это важно для бизнеса

Даже если у вашего сайта есть действующий сертификат, остаётся крошечный риск в самом первом подключении — до того, как включится защищённая версия. Злоумышленник в той же сети может воспользоваться этим моментом, чтобы незаметно перенаправить посетителя на поддельную или незащищённую копию вашего сайта и перехватить всё, что тот вводит.

HSTS убирает эту лазейку. Получив правило один раз, браузер вообще отказывается подключаться небезопасно — окна, в которое злоумышленник мог бы проскользнуть, попросту нет. Для ваших клиентов это незаметно; для вас — тихое разовое усиление защиты, оберегающее каждый повторный визит.

Как проверить и что делать

Наш бесплатный сервис проверки сообщает, включён ли HSTS на вашем сайте. Если нет, инструкция по настройке HSTS объясняет, как включить его безопасно — это небольшая настройка, которую добавляет тот, кто управляет вашим сайтом, и это бесплатно. (Лучше включать его, только когда сайт уже полностью работает по защищённому соединению, — об этом тоже сказано в инструкции.)

Want to fix this on your own domain? See the free guide →