Čo je HSTS a ako sa dá aktivovať?

HSTS (HTTP Strict Transport Security) je bezpečnostný mechanizmus na webe, ktorý pomáha chrániť webové stránky pred "downgrade protokolom" a "krádežou cookies" útokmi. Používaním HSTS webový server informuje webové prehliadače, že na stránkach, kde je tento mechanizmus povolený, sa pripojenie musí uskutočňovať iba prostredníctvom HTTPS a nikdy prostredníctvom HTTP, pričom požiadavky uskutočnené cez HTTP sa ignorujú.

Keď sa klient web prvýkrát pripojí k webovej stránke, nevie ešte, či sa pripojenie uskutoční cez HTTP alebo HTTPS a čaká na pokyny zo strany webového servera, stále existuje možnosť zachytenia komunikácie. Na odstránenie tohto rizika môže byť po aktivácii HSTS doména zahrnutá do zoznamu "pred-nahrávanie" webu. Takto bude názov domény zadaný do webového prehliadača ako fungujúci iba na HTTPS.

Upozornenie: Po pridaní na zoznam "prednačítania" webová stránka už nebude fungovať na HTTP, ale iba na HTTPS.

Viac informácií o zoznamoch "prednačítania" a o pridávaní alebo odstraňovaní domény z týchto zoznamov si môžete prečítať na: https://hstspreload.org/.

Príklad implementácie HSTS v súbore .htaccess webového servera Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"