Начните искать ключевые слова
Используйте Serpstat, чтобы находить лучшие ключи
Что такое HSTS и как внедрить технологию на свой сайт
Что собой представляет поддержка HSTS
HSTS — это алгоритм взаимодействия между браузером и сервером, при котором сайту присваивается статус защищенного на заданный период. Это делается с помощью заголовка HTTP Strict Transport Security. Он выдается при ответе сервера и указывает браузеру на необходимость постоянной автоматической переадресации на версию сайта под протоколом https.
Несмотря на основное предназначение HSTS — защитить соединение, клиент остается уязвим при:
- переустановке операционной системы;
- переустановке браузера;
- первом посещении конкретного сайта;
- использовании другого браузера;
- подключении с нового устройства, например, планшета;
- окончании периода действия HSTS;
- очистке кэша браузера.
Первое соединение с сайтом не защищается, если оно произошло через протокол http. В большинстве случаев так и происходит: редирект на защищенную версию выполняется уже после первого перехода на сайт.
Для решения этой проблемы был создан список Preload List от Google. После обращения к сайту браузер проверяет наличие сайта в этом списке и лишь потом соединяет клиента с сервером по безопасному протоколу. Попасть в Preload List можно с помощью онлайн-запроса:
Выйти из Preload List сложно. Чтобы это сделать, необходимо подать запрос на этом же ресурсе и ждать ответа. Для Chrome это происходит более трех месяцев, а для других браузеров — еще дольше. В этот период сайт недоступен пользователям. Перед внесением в Preload List определитесь наверняка, собираетесь ли постоянно поддерживать на сайте работу протокола https.
При подключенной технологии в браузере пользователю будут высвечиваться сайты, работающие исключительно по протоколу https. Даже если он введет в адресную строку домен через http, браузер автоматически перенаправит его на версию сайта с https. Механизм HSTS призван уменьшить количество незашифрованных соединений и свести к минимуму риски перехвата данных и кукисов.
Как настроить HSTS для сайта
add_header Strict-Transport-Security "max-age=31536000;”
Рекомендуется перед настройкой HSTS установить ликвидный SSL-сертификат и вручную настроить перенаправления всех страниц. Не стоит надеяться исключительно на автоматическую переадресацию браузера.
Сообщения о небезопасном соединении высвечиваются даже при наличии ссылок с переходами на незащищенные страницы. Поэтому перед подключением к данному механизму важно тщательно проверить все соединения на сайте.
Настройка HSTS в Apache
<VirtualHost 67.89.123.45:443>
Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"
</VirtualHost>
Для перенаправления пользователей на страницы с защищенным соединением включите команду:
<VirtualHost *:80>
[...]
ServerName site.com
Redirect permanent / https://site.com/
</VirtualHost>
После введенных изменений сервер необходимо перезапустить. После запуска технологии и включения в Preload List поддержка HSTS должна выполняться постоянно.
Настройка HSTS в Nginx
Не допускается применение на одном сервере двух версии одного сайта, с https-протоколом и без него. Настройте все перенаправления страниц с http на https.
Проверить статус сертификата SSL и узнать оценку сайта с точки зрения защищенности соединений можно через сервис SSL Server Test. Оценка «А» означает наличие сертификата безопасности. Оценка «А+» идентифицирует сайты с подключенной технологией HSTS.
Как найти ошибки на сайте с помощью Аудита Serpstat
Для начала работы создайте новый проект. Перейдите в Список проектов и нажмите Добавить новый проект. Если ваш сайт уже добавлен, просто нажмите на Аудит сайта.
- описание проблемы;
- подсказку, как ее устранить;
- историю проверки;
- URL, на котором обнаружена ошибка.
Заказывайте бесплатную персональную демонстрацию сервиса, и наши специалисты вам все расскажут! ;)
Заключение
Чтобы дать браузеру команду всегда определять конкретный сайт как защищенный, следует добавить заголовок HTTP Strict Transport Security в конфигурационный файл на сервере и перезапустить его. Первый раз рекомендуется устанавливать минимальный срок действия заголовка, чтобы проверить правильность его работы и устранить ошибки.
В дальнейшем важно осуществлять поддержку HSTS на постоянной основе. При окончании срока действия SSL-сертификата или появлении страниц с незащищенным соединением пользователям будет выдаваться ошибка загрузки страниц сайта.
Подключение к списку Preload List фактически является односторонней процедурой, так как выйти из него на деле оказывается очень сложно.
Serpstat — набор инструментов для поискового маркетинга!
Находите ключевые фразы и площадки для обратных ссылок, анализируйте SEO-стратегии конкурентов, ежедневно отслеживайте позиции в выдаче, исправляйте SEO-ошибки и управляйте SEO-командами.
Набор инструментов для экономии времени на выполнение SEO-задач.
Используйте лучшие SEO инструменты
Подбор ключевых слов
Поиск ключевых слов – раскройте неиспользованный потенциал вашего сайта
Возможности Serpstat
Возможности Serpstat – комплексное решение для эффективного продвижения вебсайтов
Кластеризация ключевых слов
Кластеризация ключевых слов автоматически обработает до 50 000 запросов в несколько кликов
SEO аудит страницы
Проанализируйте уровень оптимизации документа используя SЕО аудит страницы
Рекомендуемые статьи
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор подберет материалы, которые точно помогут в работе. Только полезные статьи, реальные кейсы и новости Serpstat раз в неделю. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.