Курсы по технологии HSTS

HTTP Strict Transport Security

Механизм HSTS преследует достаточно простую цель – сделать так, чтобы ресурс, доступный по HTTPS, был бы доступен только по HTTPS, без возможности возврата в обычный HTTP. Даже если каким-то образом клиенту будет подсунута ссылка на http-версию (обычно в целях перехвата данных).

Реализуется это с двух сторон, сервером и клиентом. Сервер добавляет в HTTP-ответ специальный заголовок Strict-Transport-Security, в котором говорит, что надо включить данный механизм и указывает время кэширования этой информации.

Клиент кэширует в браузере эту информацию на указанное время и подключается только по HTTPS - и если это не получается, не уходит на обычный HTTP, сообщает серверу об ошибке, используя заданный в HSTS-заголовке параметр report-uri.

При правильной настройке HSTS вы сможете добавить свой домен в preload-лист Chromium и браузеры будут даже при самом первом подключении знать, что ваш сайт работает только по HTTPS.

Поможем вам ознакомиться и/или изучить HTTP Strict Transport Security в удобном формате дистанционного онлайн-обучения.

Изучаем HSTS

Если вы собрались изучать HTTP Strict Transport Security, то помогут:

  • Вебинар AT-ADVSECE-TLS 18.08 - Настройка и тюнинг TLS 1.0 - TLS 1.3 на современном ПО

Другие технологии и протоколы, связанные с HTTP Strict Transport Security

К HTTP Strict Transport Security имеют отношение:

Упоминания HSTS на Knowledge Base

Будет полезно прочитать эти статьи с нашей Knowledge Base: