Настройка HSTS (HTTP Strict Transport Security) для сайта

Наша компания занимается разработкой, поддержкой и обслуживанием сайтов любой сложности. От простых одностраничных сайтов до масштабных кластерных систем построенных на микро сервисах. Опыт разработчиков подтвержден сертификатами от вендоров.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и обслуживание любых видов сайтов:
Информационные сайты или веб-приложения
Сайты визитки, landing page, корпоративные сайты, онлайн каталоги, квиз, промо-сайты, блоги, новостные ресурсы, информационные порталы, форумы, агрегаторы
Сайты или веб-приложения электронной коммерции
Интернет-магазины, B2B-порталы, маркетплейсы, онлайн-обменники, кэшбэк-сайты, биржи, дропшиппинг-платформы, парсеры товаров
Веб-приложения для управления бизнес-процессами
CRM-системы, ERP-системы, корпоративные порталы, системы управления производством, парсеры информации
Сайты или веб-приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, конструкторы сайтов, порталы предоставления электронных услуг, видеохостинги, тематические порталы

Это лишь некоторые из технических типов сайтов, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента

Предлагаемые услуги
Показано 1 из 1 услугВсе 2065 услуг
Настройка HSTS (HTTP Strict Transport Security) для сайта
Простая
~2-3 часа
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_website-b2b-advance_0.png
    Разработка сайта компании B2B ADVANCE
    1214
  • image_web-applications_feedme_466_0.webp
    Разработка веб-приложения для компании FEEDME
    1161
  • image_websites_belfingroup_462_0.webp
    Разработка веб-сайта для компании БЕЛФИНГРУПП
    852
  • image_ecommerce_furnoro_435_0.webp
    Разработка интернет магазина для компании FURNORO
    1041
  • image_crm_enviok_479_0.webp
    Разработка веб-приложения для компании Enviok
    823
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Разработка веб-сайта для компании ФИКСПЕР
    815
Показать больше работ

Настройка HSTS (HTTP Strict Transport Security) для сайта

HSTS — механизм, при котором браузер запоминает, что сайт доступен только по HTTPS, и больше не пробует HTTP-соединение. Один заголовок в конфигурации сервера устраняет целый класс атак типа SSL stripping.

Как это работает

Сервер отдаёт заголовок:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

После первого визита браузер кэширует эту директиву на 365 дней. Все последующие запросы к домену и его поддоменам автоматически переводятся на HTTPS ещё до отправки в сеть — без редиректа 301, без round-trip на сервер.

Настройка на Nginx

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

    # Остальная конфигурация...
}

Параметр always критичен — без него заголовок не отправляется при ошибочных ответах (4xx, 5xx).

Настройка на Apache

<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</VirtualHost>

Модуль mod_headers должен быть включён: a2enmod headers.

Пошаговое введение

Резкая активация HSTS с max-age=31536000 на продакшен-сайте — риск. Если потом выяснится, что SSL-сертификат не покрывает какой-то поддомен, пользователи не смогут попасть на него месяц и более.

Рекомендуемый порядок:

  1. Убедиться, что все поддомены работают по HTTPS
  2. Настроить автоматическое обновление сертификатов (Let's Encrypt + Certbot или аналог)
  3. Установить max-age=300 (5 минут), проверить неделю
  4. Увеличить до max-age=2592000 (30 дней)
  5. Установить max-age=31536000; includeSubDomains
  6. Подать заявку на включение в HSTS Preload List

HSTS Preload List

Заявка подаётся на hstspreload.org. После включения в список браузеры Chrome, Firefox, Safari знают о вашем HSTS-требовании ещё до первого визита пользователя. Убрать домен из списка — процедура долгая (несколько месяцев), поэтому включают только домены с устойчивой HTTPS-инфраструктурой.

Требования для preload:

  • max-age не менее 31536000
  • Директива includeSubDomains
  • Директива preload
  • Все поддомены должны поддерживать HTTPS

Срок реализации

Базовая настройка заголовка — 1–2 часа включая тестирование. Полный цикл до preload-статуса — 2–4 недели с учётом поэтапного наращивания max-age.