Настройка HSTS - безопасность на новом уровне
loader preloader

Настройка HSTS - безопасность на новом уровне

Настройка HSTS - безопасность на новом уровне
Настройка HSTS - безопасность на новом уровне
drive02 drive02 drive02
Категория: инфоповод

Настройка HSTS - безопасность на новом уровне

HSTS (HTTP Strict Transport Security) — на данный момент малораспространенный механизм, который принудительно включает защищенное соединение HTTPS. Несмотря на то, что HSTS используется на сегодняшний день не часто, это важный аспект с точки зрения безопасности. Его популярность растет, поскольку он помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и угон куки (cookie).

Безопасность сайтов клиентов — превыше всего

При разработке сайта и дальнейшем продвижении нужно всегда отдавать должное безопасности проекта. Это относится не только к интернет-магазинам с приемами платежей, но и к новостным ресурсам, поскольку существует вероятность подмены контента злоумышленниками. Для обеспечения безопасности проекта существует целый набор шагов, которые мы последовательно выполняем при создании сайта. Одним из таких шагов является установка SSL-сертификата на сайт, другим — настройка HSTS.

HSTS preload list - список сайтов, который включен в современные браузеры по умолчанию, поэтому при обновлении Google Chrome, Mozilla Firefox, последняя Opera сразу будут подгружать сайт с настроенным механизмом HSTS по защищенному соединению.

Попасть в список «избранных»

Чтобы ваш сайт попал в список предзагрузки, нужно:

  • Определиться с отображением вашего домена — с www или без, грамотно настроить в личном кабинете доменного провайдера и в веб-конфигурации вашего сервера.
  • Корректно настроить SSL-сертификат. Для поисковых систем этот пункт стал в последнее время важным, поэтому обходить стороной установку SSL-сертификата не стоит. Вы можете обратиться к нам — мы всегда готовы придти на помощь.
  • Настроить 301-редирект. Грамотная настройка перенаправления пользователя необходима даже при наличии HSTS и даже когда Ваш сайт уже внесен в листинг предзагрузки.
  • Проставить заголовок HSTS в настройках веб-сервера. Этот пункт требует особого внимания, поскольку от правильности написания заголовков зависит попадет ли ваш ресурс в список или нет.
  • Отправить свой сайт на модерацию на https://hstspreload.org/ .

Что же конкретно дает механизм HSTS?

Данный механизм еще на уровне браузера заменяет собой 301-редирект. Не смотря на это, третий пункт списка выше все равно нужно выполнить — пройти модерацию возможно только при соблюдении всех требований. Настроив HSTS на сайте можно быть уверенным, что пользователь увидит именно ту информацию, которую для него приготовили Вы, а не злоумышленники, желающие так или иначе напакостить Вам или Вашим посетителям.

инфоповод
Оставить заявку

Связаться с нами