Τι είναι το HSTS και πώς μπορεί να ενεργοποιηθεί;

HSTS (HTTP Strict Transport Security) είναι ένας μηχανισμός ασφαλείας του διαδικτύου που βοηθά στην προστασία των ιστοσελίδων από επιθέσεις "υποβάθμισης πρωτοκόλλου" και "κλοπής cookie". Χρησιμοποιώντας το HSTS, ο διακομιστής ιστού ενημερώνει τους περιηγητές ιστού ότι στις ιστοσελίδες όπου είναι ενεργοποιημένος αυτός ο μηχανισμός, η σύνδεση πρέπει να γίνεται μόνο μέσω HTTPS και ποτέ μέσω HTTP, με τις αιτήσεις που γίνονται μέσω HTTP να αγνοούνται.

Δεδομένου ότι κατά την πρώτη σύνδεση ενός πελάτη στο διαδίκτυο με μια ιστοσελίδα, αυτός δεν γνωρίζει ακόμα αν η σύνδεση θα πραγματοποιηθεί μέσω HTTP ή HTTPS και περιμένει οδηγίες από τον διακομιστή ιστού, υπάρχει ακόμα η δυνατότητα παρεμβολής στις επικοινωνίες. Για να αφαιρεθεί αυτός ο κίνδυνος, μετά την ενεργοποίηση του HSTS, το domain μπορεί να προστεθεί στη λίστα των "προφόρτωσης" στο διαδίκτυο. Έτσι, το όνομα του domain θα εισαχθεί στο φυλλομετρητή ιστού ως λειτουργώντας μόνο μέσω HTTPS.

Προσοχή: Αφού προστεθεί στη λίστα "προφόρτωσης", η ιστοσελίδα δεν θα λειτουργεί πλέον σε HTTP, αλλά μόνο σε HTTPS.

Περισσότερες λεπτομέρειες σχετικά με τις λίστες "preloading" και την προσθήκη ή αφαίρεση ενός τομέα από αυτές τις λίστες μπορείτε να διαβάσετε επισκεπτόμενοι: https://hstspreload.org/.

Παράδειγμα υλοποίησης HSTS στο αρχείο .htaccess του web server Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"