Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Панель управления
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307  Горячая линия
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

2.12.10. Настройка HSTS

HSTS — механизм принудительного перехода с протокола HTTP на HTTPS. Данная политика указывает браузеру принудительно изменять все адреса домена с протокола HTTP на HTTPS при помощи заголовка Strict-Transport-Security, описано в стандарте RFC 6797. Важно учитывать, что политика HSTS помещается в кеш на указанный срок и в это время вернуться на протокол HTTP не выйдет, кроме ручной очистки политик безопасности браузера.

Важные моменты:

  • Политика HSTS сохраняется для определённых доменов на период, указанный в передаваемом заголовке. До момента истечения этого периода невозможно перейти на протокол HTTP без ручной очистки кеша.
  • Не все браузеры поддерживают данную технологию. Если поддержки нет, то она будет проигнорирована. Поддержка реализована во всех браузерах на базе Chromium (Chrome, Opera, Yandex и другие) и в Firefox.
  • Не следует сразу же указывать большой период в max-age. Установите параметр в 900 для проверки работоспособности сайта и если всё будет в порядке, можно будет изменить его на более высокий.

Чтобы задействовать HSTS (HTTP Strict Transport Security), добавьте в файл .htaccess в каталоге сайта такую строку:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"  env=HTTPS
  • max-age — период кеширования политики в браузерах.
  • includeSubDomains — применить политику ко всем поддоменам.
  • preload — параметр гарантирующий включение политики для домена в поддерживаемых браузерах. Обеспечивает изменение протокола HTTP на HTTPS до загрузки сайта.