Hva er HSTS?
HSTS - HTTP Strict Transport Security - er en header som forteller nettleseren at den alltid skal bruke HTTPS for et domene, selv om brukeren skriver http://. HSTS-preload kan garantere HTTPS allerede ved første besøk.
På vanlig norsk
HSTS låser fast at nettstedet kun skal nås via HTTPS. Det stenger døren for downgrade-angrep.
Teknisk forklaring
Implementert som HTTP-header `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`. Preload-listen vedlikeholdes av Chrome og brukes av andre nettlesere.
Et eksempel
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Hvorfor er HSTS viktig?
Beskytter mot man-in-the-middle-angrep der noen prøver å lure nettleseren til å bruke ukryptert HTTP.
Lær mer om beslektede ord
HTTPS - HTTP Secure - er den sikre versjonen av HTTP-protokollen, og bruker TLS for å kryptere og autentisere trafikken mellom nettleser og server. Vises i adresselinjen som https:// og ofte med en hengelås.
TLS - Transport Layer Security - er den moderne kryptografiske protokollen som sikrer kommunikasjon på internett. Det er etterfølgeren til SSL og brukes for HTTPS, sikker e-post (SMTPS, IMAPS) og andre tjenester. TLS 1.3 er gjeldende anbefaling.
Spørsmål om HSTS
Er HSTS reversibelt?
Ja, men kan ta lang tid (max-age) før nettlesere glemmer policyen. Preload er enda vanskeligere å reversere.Bør jeg bruke includeSubDomains?
Bare hvis ALLE subdomener kan kjøre HTTPS. Ellers låser du deg ute fra interne tjenester.