Проверка HSTS онлайн

Результаты проверки

Это проверка только HSTS. Чтобы проверить страницу по всем параметрам — воспользуйтесь полной проверкой страницы.

Вы также можете проверить весь сайт. Дубли title и description, orphan-страницы, битые ссылки между разделами и другие системные проблемы можно найти только при проверке всего сайта.

Если у вас нет SEO-специалиста — мы поможем исправить найденные ошибки.

Полная проверка страницы Проверить весь сайт Исправить ошибки

Что такое HSTS и зачем он нужен

HSTS (HTTP Strict Transport Security) — это механизм безопасности, который сообщает браузеру: все последующие соединения с этим сайтом должны выполняться только по HTTPS. Заголовок Strict-Transport-Security отправляется сервером в HTTP-ответе, и после его получения браузер автоматически преобразует все HTTP-запросы к домену в HTTPS, не выполняя небезопасного соединения.

Параметры заголовка HSTS

max-age — время в секундах, в течение которого браузер будет принудительно использовать HTTPS. Рекомендуемое значение — 31536000 (1 год)
includeSubDomains — распространяет политику HSTS на все поддомены. Важно для защиты от атак через поддомены
preload — позволяет добавить домен в предзагруженный список HSTS браузеров, чтобы защита действовала с самого первого посещения

Почему HSTS важен для безопасности

Без HSTS первое соединение с сайтом может быть выполнено по HTTP, что создаёт окно для атаки «человек посередине» (MITM). Злоумышленник может перехватить незащищённый запрос и перенаправить пользователя на фишинговый сайт. HSTS устраняет эту уязвимость — браузер никогда не отправит HTTP-запрос к домену с активной HSTS-политикой.

Как настроить HSTS

Nginx — добавьте в конфигурацию: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
Apache — используйте: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
HSTS Preload — после настройки заголовка отправьте домен на hstspreload.org для включения в предзагруженный список браузеров

HSTS и SEO

Правильная настройка HSTS косвенно улучшает SEO. Она гарантирует, что поисковые роботы всегда обращаются к HTTPS-версии страниц, исключает дублирование контента между HTTP и HTTPS, и ускоряет загрузку за счёт отсутствия редиректов с HTTP на HTTPS. Google рассматривает HTTPS как фактор ранжирования, а HSTS обеспечивает его безусловное использование.

Частые вопросы

Какое значение max-age выбрать для HSTS? ▶

Начните с небольшого значения, например 300 (5 минут), чтобы убедиться, что сайт полностью работает по HTTPS. Затем увеличьте до 86400 (1 день), потом до 604800 (1 неделя) и в итоге до 31536000 (1 год). Для включения в HSTS Preload List требуется max-age не менее 31536000.

Можно ли отменить HSTS после включения? ▶

Да, можно отправить заголовок с max-age=0, и браузеры удалят HSTS-политику для домена. Однако если домен был добавлен в HSTS Preload List, удаление из списка занимает значительное время, так как требует обновления браузеров. Поэтому перед включением preload убедитесь, что HTTPS настроен надёжно.

Чем HSTS отличается от обычного редиректа на HTTPS? ▶

301-редирект с HTTP на HTTPS выполняется на стороне сервера — браузер сначала отправляет незащищённый HTTP-запрос, и только потом получает перенаправление. HSTS работает на стороне браузера — он вообще не отправляет HTTP-запрос, а сразу обращается по HTTPS. Это быстрее и безопаснее, так как исключает незащищённое соединение.