Šta je HSTS i kako se može aktivirati?

HSTS (HTTP Strict Transport Security) je mehanizam bezbednosti veba koji pomaže u zaštiti sajtova od napada tipa "downgrade protocol" i "cookie hijacking". Korišćenjem HSTS-a, veb server objavljuje veb pretraživačima da na sajtovima gde je ovaj mehanizam aktiviran konekcija mora da se uspostavi isključivo preko HTTPS-a i nikada preko HTTP-a, zahtevi poslati putem HTTP-a se ignorišu.

Pošto prilikom prvog povezivanja klijenta sa web sajtom, on još ne zna da li će veza biti ostvarena putem HTTP-a ili HTTPS-a i čeka instrukcije od web servera, još uvek postoji mogućnost presretanja komunikacija. Da bi se eliminisao i ovaj rizik, nakon aktivacije HSTS, domen se može uključiti u listu "pre-učitavanje" web. Tako će ime domena biti uneto u web pretraživač kao da funkcioniše samo na HTTPS-u.

Pažnja: Nakon što se doda na listu "pre-učitavanja", sajt više neće raditi na HTTP, već samo na HTTPS.

Više detalja o "pre-učitavanju" listi i dodavanju ili uklanjanju domena sa ovih lista može se pročitati pristupanjem: https://hstspreload.org/.

Primjer implementacije HSTS u .htaccess datoteci Apache web poslužitelja:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"