Co to jest HSTS?
HSTS to mechanizm bezpieczeństwa, który informuje przeglądarkę żeby przez określony czas zawsze używała HTTPS dla danej domeny, nawet jeśli użytkownik wpisze http://.
Aktywacja HSTS przez .htaccess
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"Parametry:
max-age=31536000— 1 rok (w sekundach)includeSubDomains— dotyczy też subdomenpreload— do wpisania na listę preload przeglądarek
HSTS Preload List
Aby Twoją domenę byća twardo zakodowana jako HTTPS we wszystkich przeglądarkach, zgłoś ją do listy preload: hstspreload.org
Ważne: Przed włączeniem HSTS upewnij się że SSL działa poprawnie na WSZYSTKICH subdomenach (jeśli używasz includeSubDomains). Błądy SSL po włączeniu HSTS mogą całkowicie zablokować dostęp do strony przez długi czas (max-age).
