Co je HSTS a jak může být aktivováno?

HSTS (HTTP Strict Transport Security) je mechanismus webové bezpečnosti, který pomáhá chránit stránky před útoky typu "downgrade protocol" a "cookie hijacking". Pomocí HSTS webový server deklaruje webovým prohlížečům, že na stránkách, kde je tento mechanismus aktivní, by se připojení mělo uskutečnit výhradně přes HTTPS a nikdy přes HTTP, přičemž požadavky provedené přes HTTP jsou ignorovány.

Proto první připojení webového klienta k webové stránce neví, zda dojde k připojení přes HTTP nebo HTTPS, a čeká na pokyny ze serveru. Existuje tedy stále možnost odposlechu komunikace. Aby se tato rizika eliminovala, po aktivaci HSTS může být doména zahrnuta do seznamu "přednačítání" webu. Tímto způsobem bude název domény zapsán do webového prohlížeče jako fungující pouze přes HTTPS.

Pozor: Po zařazení na seznam "přednačítání" nebude webová stránka fungovat na HTTP, ale pouze na HTTPS.

Více informací o seznamech "přednačtení" a přidávání nebo odstraňování domény z těchto seznamů lze přečíst na: https://hstspreload.org/.

Příklad implementace HSTS v souboru .htaccess webového serveru Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"