Как включить HSTS

Сегодня разберем как можно включить опцию HSTS для вашего сайта и приблизится к получению рейтинга +A при прохождении тестов.

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками.

Этот заголовок говорит о том что данный браузер работает только по HTTPS, и необходимо пресекать все попытки открытия его по HTTP, если проще — то всегда открывать его по HTTPS.

Включить HSTS в nginx

открываем конфиг файл nginx и вносим в него следующую запись в секцию server:

server {
...
add_header Strict-Transport-Security "max-age=31536000;";
add_header X-Frame-Options "DENY";
....

После редактирования рестартуем Nginx:

sudo service nginx restart

Включить HSTS в apache

открываем конфиг файл apache и вносим в него следующую запись:

<VirtualHost *.443>
...
Header always set Strict-Transport-Security "max-age= 31536000; includeSubDomains"
Header always set X-Frame-Options DENY
....
</VirtualHost>

Также необходимо включить модуль header:

sudo a2enmod headers

После редактирования рестартуем Apache:

sudo service apache2 restart
Если есть вопросы, то пишем в комментариях и не забываем проголосовать за статью.
Как включить HSTS
5 (100%) 3 votes

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *