HSTS

By AdsPower
|
31 марта 2026 г.

HSTS (HTTP Strict Transport Security, «Строгая транспортная безопасность HTTP») — механизм политики веб‑безопасности, который принудительно устанавливает использование защищённых HTTPS‑соединений между браузером и сервером. Он защищает от ряда атак — например, от понижения уровня протокола и перехвата файлов cookie — за счёт шифрования всего трафика через HTTPS.

Как работает HSTS?

  1. Первоначальное HTTPS‑соединение. Браузер подключается к сайту по HTTPS. Сервер в ответ отправляет заголовок HSTS.

  2. Спецификация заголовка. Заголовок Strict-Transport-Security содержит директивы — в т. ч. параметр max-age, задающий срок действия политики (в секундах).

  3. Применение в браузере. Получив заголовок, браузер запоминает директиву на указанный период (max-age). Все последующие попытки подключиться по HTTP автоматически переводятся в HTTPS на стороне браузера.

  4. Предварительная загрузка (preload). Сайт можно добавить в список предварительной загрузки HSTS, поддерживаемый разработчиками браузеров. Это гарантирует защищённое соединение даже при первом посещении.

Ключевые директивы в заголовке HSTS

  • max-age — длительность (в секундах), в течение которой браузер должен принудительно использовать HTTPS. Пример: max-age=31536000 (1 год).

  • includeSubDomains — распространяет требование HTTPS на все поддомены сайта. Полезно для защиты конфигураций с несколькими доменами (например, blog.example.com или shop.example.com).

  • preload — запрос на включение в список предварительной загрузки HSTS для дополнительной безопасности.

Преимущества HSTS

  1. Защита от атак с понижением уровня протокола. Злоумышленники не смогут заставить пользователя подключиться по HTTP вместо HTTPS.

  2. Предотвращение перехвата файлов cookie. Весь трафик шифруется, что защищает cookie и другие конфиденциальные данные от перехвата.

  3. Повышение доверия пользователей. HSTS укрепляет доверие к сайту за счёт предотвращения атак типа «человек посередине» (MITM).

  4. Упрощение безопасного просмотра. После включения HSTS пользователи автоматически перенаправляются на HTTPS без ручного вмешательства.

Как внедрить HSTS

  1. Включите HTTPS. Убедитесь, что сайт поддерживает HTTPS и имеет действующий SSL/TLS‑сертификат.

  2. Установите заголовок HSTS. Настройте веб‑сервер на отправку заголовка Strict-Transport-Security в ответах HTTPS.

    • Для Apache:

      Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

    • Для Nginx:

      add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

  3. Проверьте конфигурацию. Используйте инструменты вроде SSL Labs для проверки корректности настройки HSTS.

  4. Добавьте домен в список предварительной загрузки (опционально). Отправьте домен в список предварительной загрузки HSTS для максимальной безопасности. Убедитесь, что:

    • max-age составляет не менее 1 года;

    • включены директивы includeSubDomains и preload.

Риски и ограничения HSTS

  • Уязвимость при первом посещении. HSTS защищает пользователей только после первого HTTPS‑подключения. До этого они могут быть уязвимы.

  • Случайные блокировки. Некорректная настройка HSTS может заблокировать доступ пользователей к сайту — особенно если SSL‑сертификаты истекли или поддомены не защищены должным образом.

  • Проблемы с кэшированием. После кэширования политики HSTS браузеры не смогут получить доступ к HTTP‑версиям сайта до истечения срока действия политики или ручного сброса.

Лучшие практики для HSTS

  • Тестируйте перед глобальным включением. Начните с небольшого значения max-age (например, max-age=86400 для одного дня), чтобы оценить влияние HSTS на работу сайта.

  • Защитите все поддомены. Используйте директиву includeSubDomains, чтобы злоумышленники не могли использовать незащищённые поддомены.

  • Поддерживайте действительные SSL/TLS‑сертификаты. Регулярно обновляйте сертификаты, чтобы избежать сбоев из‑за их истечения.

  • Отправьте домен в список предварительной загрузки. Для долгосрочной безопасности добавьте домен в список предварительной загрузки HSTS.

Ключевой вывод

HSTS — мощный инструмент для обеспечения защищённого соединения между пользователями и веб‑серверами. Внедрение HSTS повышает доверие пользователей, защищает от различных атак и упрощает работу в интернете за счёт автоматического использования HTTPS. Несмотря на необходимость тщательной настройки и обслуживания, HSTS является критически важным компонентом современных практик веб‑безопасности.

Вам также может понадобиться

Что такое HTTP-заголовки: Понимание ключевых игроков клиент-серверной коммуникации

10 лучших безголовых браузеров для парсинга: плюсы и минусы

Последнее изменение: 2026-03-31