Ми використовуємо cookie-файли
Для оптимізації роботи нашого сайту ми використовуємо cookie-файли. Продовжуючи використовувати сайт, Ви погоджуєтеся з використанням cookie-файлів.
Новий дизайн
Панель керування
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Гаряча лінія
  • +38 (044) 392-74-33 Київ
  • +38 (057) 728-39-00 Харків
  • +38 (056) 794-38-31 Дніпро
  • +38 (032) 229-58-93 Львів
  • +38 (048) 738-57-70 Одеса
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Київстар
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Москва

2.12.10. Налаштування HSTS

HSTS - механізм примусового переходу з протоколу HTTP на HTTPS. Дана політика вказує браузеру примусово змінювати все адреси домену з протоколу HTTP на HTTPS за допомогою заголовка Strict-Transport-Security, Описано в стандарті RFC 6797. Важливо враховувати, що політика HSTS поміщається в кеш на вказаний термін і в цей час повернутися на протокол HTTP не вийде, крім ручної очистки політик безпеки браузера.

Важливі моменти:

  • Політика HSTS застосовується тільки після першого входу на сайт. При першому відвідуванні браузер ще не знає про заголовку і запит може виконуватися по HTTP.
  • Не всі браузери підтримують дану технологію. Якщо підтримки немає, то вона буде проігнорована. Підтримка реалізована у всіх браузерах на базі Chromium (Chrome, Opera, Yandex та інші) і в Firefox.
  • Політика HSTS зберігається для певних доменів на період, зазначений у переданому заголовку. До моменту закінчення цього періоду неможливо перейти на протокол HTTP без ручного очищення кеша.
  • Не слід відразу ж вказувати великий період в max-age. Встановіть параметр в 900 для перевірки працездатності сайту і якщо все буде в порядку, можна буде змінити його на більш високий.
  • Додавання заголовка HSTS в .htaccess можливо тільки в рамках веб сервера Apache, в рамках LiteSpeed або PHP-FPM правило в .htaccess буде ігноруватися.

Для задіяння HSTS (HTTP Strict Transport Security) додайте в файл .htaccess в каталозі сайту такий рядок:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"  env=HTTPS
  • max-age - період кешування політики в браузерах.
  • includeSubDomains - застосувати політику до всіх піддоменів.
  • preload - параметр гарантує включення політики для домену в підтримуваних браузерах. Забезпечує зміна протоколу HTTP на HTTPS до завантаження сайту.

Після додавання заголовка перевірте сайт на коректну роботу заголовка в hstspreload.org, Там же можна додати мене до свого списку предзагрузок HSTS браузерів.