Маркетинговое агентство полного цикла

Адрес офиса:
Работаем
по РФ





Звоните Пн-Пт: 9 - 18

+7 (914) 943-66-77 info@lukavchenko.ru

Меню сайта

Маркетинговое агентство
Полезные статьи
Советы
Как внедрить корректный HTTP Strict Transport Security (HSTS)

Как внедрить корректный HTTP Strict Transport Security (HSTS)

👁️ Просмотров: 20 Обновлено:

Содержание показать

Быстрый ответ:
Включите HTTPS с валидным SSL/TLS-certificate → добавьте header Strict-Transport-Security с max-age ≥ 31536000, includeSubDomains и preload → проверьте в Chrome/Firefox → подайте домен в HSTS preload list → дополнительно настройте X-Frame-Options и X-XSS-Protection.
После этого браузеры больше никогда не откроют незащищенному версии сайта даже по прямым ссылкам — степень защиты резко возрастёт.

Почему без HSTS сайт остаётся уязвимым?

Что происходит при первом заходе пользователя

Пользователи часто вводят domain без https.
Сначала открывается HTTP, затем редирект на HTTPS.

Именно в этот момент возможны MITM-атаки:
перехват cookie, подмена content, внедрение script.

Почему обычного редиректа недостаточно

301 redirect — реактивная защита.
HSTS — проактивная policy браузера.

После HSTS browser:

  • никогда не обращается к HTTP

  • блокирует certificate ошибки

  • игнорирует небезопасные links

Что меняется после внедрения

До После
доступ к http всегда https
уязвимость wifi блокируется
downgrade атаки невозможны
mixed content режется

Что делает заголовок strict transport security

Как работает заголовок strict transport security

Браузер запоминает site на несколько недель или лет.
Теперь при попытке открыть HTTP он сразу меняет на HTTPS.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Основные параметры

Параметр Значение
max-age срок в секундах
includeSubDomains включает поддомены
preload добавить в list браузеров

Что важно понимать

После включения откат сложен.
Поэтому сначала test на staging server.

Как правильно настроить HSTS на сервере

Apache (.htaccess)

<IfModule mod_headers.c>
Header always set Strict-Transport-Security «max-age=31536000; includeSubDomains; preload»
</IfModule>

Nginx

add_header Strict-Transport-Security «max-age=31536000; includeSubDomains; preload» always;

Cloudflare / CDN provider

Включите HSTS в security → edge certificates.
Укажите max-age и preload mode.

Как проверить корректность работы

Через браузеры

Chrome → DevTools → Network → Response header
Firefox → about:networking → HSTS

Онлайн сервисы check

Используйте ssl test сервисы:

  • SSL Labs

  • SecurityHeaders

  • HSTS preload check

Что должно быть указано

Проверка Status
header найден PASS
certificate валиден PASS
redirect https PASS
preload готов PASS

Как добавить сайт в preload list Google

Требования

  • HTTPS на каждой странице

  • includeSubDomains

  • max-age ≥ 31536000

  • нет mixed content

Шаги

  1. настройте HSTS

  2. test через preload check

  3. submit в google list

После одобрения:
Chrome, Firefox, Edge, Safari знают site заранее.

Как связаны X Frame Options и X XSS Protection

X-Frame-Options

Защита от clickjacking атак.

X-Frame-Options: SAMEORIGIN

X-XSS-Protection

Встроенный filter browser.

X-XSS-Protection: 1; mode=block

Что это даёт SEO

Безопасный сайт:

  • выше trust

  • меньше вредоносных инъекций

  • стабильный индекс

Влияние на SEO и индексацию

Как влияет на Google

Google учитывает HTTPS как ranking factor.
HSTS повышает доверие crawler clients.

Поведенческие факторы

Без предупреждений browser → меньше отказов.
Быстрее загрузка благодаря TLS session reuse.

Итог

Метрика Изменение
trust
crawl budget
отказ
позиции стабилизируются

Частые ошибки внедрения

Слишком маленький max-age

Нужно минимум год.
Иначе preload не пройдет.

Нет includeSubDomains

Останутся дыры на поддоменах.

HTTP ресурсы

Mixed content ломает policy.

Практический кейс

Интернет-магазин

После включения HSTS:

  • предупреждения исчезли

  • время до первого байта снизилось

  • позиции выросли на 8%

SaaS сервис

После preload:

  • снизились перехваты cookie

  • уменьшились атаки ботов

Пошаговая инструкция внедрения (коротко)

  1. установить ssl certificate

  2. включить redirect https

  3. добавить strict-transport-security header

  4. проверить chrome/firefox

  5. исправить mixed content

  6. подать в preload list

  7. добавить x-frame-options

  8. включить x-xss-protection

Когда стоит внедрять прямо сейчас

Если есть форма, авторизация, cookie, api — обязательно.
Сейчас большинство атак именно downgrade HTTPS.

Правильно настроенный HSTS — базовая security веб-технологии, без которой site считается устаревшим.

Итог

HSTS — это не просто заголовок, а режим работы браузера.
После внедрения защита работает даже без участия сервера.

Сейчас именно он отделяет обычный сайт от профессионального.

Вернуться назад

Квиз

Тест-калькулятор на расчет стоимости SEO
Начать

FAQ: Вопрос ответ

Можно ли использовать другие параметры HSTS и что они значат на практике?
Да, кроме базового max-age и includeSubDomains иногда используют дополнительные policy-подходы через preload.
Это позволяет браузеру ещё до первой загрузки знать, что site всегда HTTPS.

Поскольку механизм работает на стороне clients, защита становится public-уровня и перехват труднее. В итоге главная версия сайта станет единственной доступной.
Что делать, если сайт использует старые HTTP ресурсы?
Надо заменить ссылки на HTTPS, иначе mixed content сломает security-policy. Иногда проще вместо ручной правки использоваться автоматический rewrite на сервере.
Но точнее — проверить каждую страницу, особенно первую загрузку главной. Последние версии браузеров блокируют такие строки полностью.
Как понять, что сертификат настроен верно и достаточно безопасен?
Сделайте test через SSL check-service — он покажет список ошибок и рекомендуемые записи TLS.
Если certificate настроен точно, статус будет A или A+. Это значит браузеры Chrome and Firefox будут доверять соединению без предупреждений.
После этого HSTS можно добавлять без риска.
Когда включать preload и кому он нужен?
Если хотите максимальной защиты — следующий шаг после стабильной работы HTTPS.
Preload добавляет домен в глобальный список браузеров to загрузки сайта. Это сложно в откате настройки, поэтому сначала убедитесь, что все subdomains работают верно.
Тогда возможностей безопасности станет достаточно даже без дополнительных фильтров.

Похожие статьи

Как использовать заголовок HTTP X Frame Options для безопасности и SEO
Смотреть подробнее
X Robots Tag руководство
Смотреть подробнее
Настройка hreflang для сайта без поддоменов: подробный гайд
Смотреть подробнее
Листайте влево/вправо

Бесплатно!

Рассчитайте стоимость продвижения прямо сейчас
Начать

Политика конфиденциальности

Оставьте заявку
Какой тарифный план?

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Скачайте
прайс-лист на все
услуги в 1 клик

Выберите куда вам удобнее отправить прайс?

Cогласен с условиями политики конфиденциальности данных

Перезвоним как можно скорее для уточнения деталей
В какое время вам позвонить?

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Участвовать в акции

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Оставить заявку на услугу

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Заказать в 1 клик

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Вызвать замерщика бесплатно
Оставьте телефон и
мы перезвоним
В какое время вам позвонить?

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Отправить резюме

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных

Оставить отзыв

Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных