HSTS (HTTP Strict Transport Security) — на данный момент малораспространенный механизм, который принудительно включает защищенное соединение HTTPS. Несмотря на то, что HSTS используется на сегодняшний день не часто, это важный аспект с точки зрения безопасности. Его популярность растет, поскольку он помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и угон куки (cookie).
При разработке сайта и дальнейшем продвижении нужно всегда отдавать должное безопасности проекта. Это относится не только к интернет-магазинам с приемами платежей, но и к новостным ресурсам, поскольку существует вероятность подмены контента злоумышленниками. Для обеспечения безопасности проекта существует целый набор шагов, которые мы последовательно выполняем при создании сайта. Одним из таких шагов является установка SSL-сертификата на сайт, другим — настройка HSTS.
HSTS preload list - список сайтов, который включен в современные браузеры по умолчанию, поэтому при обновлении Google Chrome, Mozilla Firefox, последняя Opera сразу будут подгружать сайт с настроенным механизмом HSTS по защищенному соединению.
Чтобы ваш сайт попал в список предзагрузки, нужно:
Данный механизм еще на уровне браузера заменяет собой 301-редирект. Не смотря на это, третий пункт списка выше все равно нужно выполнить — пройти модерацию возможно только при соблюдении всех требований. Настроив HSTS на сайте можно быть уверенным, что пользователь увидит именно ту информацию, которую для него приготовили Вы, а не злоумышленники, желающие так или иначе напакостить Вам или Вашим посетителям.