HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Правило, яке ваш сайт надсилає браузерам зі змістом «завжди підключайся до мене захищено» — закриваючи прогалину, якою зловмисники користуються для перехоплення першого незахищеного відвідування.

Що це таке

HSTS розшифровується як HTTP Strict Transport Security. Це коротка інструкція, яку ваш сайт надсилає браузеру відвідувача при першому підключенні: «Надалі підключайся до мене лише захищено — ніколи через незахищене з’єднання». Браузер запам’ятовує це і автоматично виконує при кожному наступному відвідуванні.

Чому це важливо для бізнесу

Навіть коли ваш сайт має дійсний сертифікат, існує невеликий ризик у саме першому підключенні — до того, як захищена версія встигає спрацювати. Зловмисник у тій самій мережі може скористатися цим моментом, щоб тихо переспрямувати відвідувача на підробку або незахищену копію вашого сайту та перехопити те, що він вводить.

HSTS усуває цю прогалину. Коли браузеру вже сказано це правило, він взагалі відмовляється підключатися незахищено — зловмиснику немає вікна, в яке пролізти. Для клієнтів це непомітно; для вас — тихе одноразове посилення, що захищає кожне наступне відвідування.

Як перевірити та що робити

Наш безкоштовний інструмент повідомить, чи увімкнений HSTS для вашого сайту. Якщо ні, посібник з налаштування HSTS пояснює, як безпечно його активувати — це невелике налаштування, яке додає той, хто керує вашим сайтом, і воно безкоштовне. (Найкраще вмикати лише тоді, коли ваш сайт вже повністю працює через захищене з’єднання — посібник це охоплює.)

Want to fix this on your own domain? See the free guide →