Che cosa è HSTS?
HTTP Strict Transport Security (HSTS) è un meccanismo di sicurezza per le connessioni HTTPS.
Se HSTS è attivato, il server web invia un header aggiuntivo (Strict Transport Security) per le connessioni HTTPS con l'informazione che la pagina richiesta deve essere accessibile solo attraverso una connessione criptata per un certo periodo di tempo.
Come attivare HSTS?
Il Header HSTS può essere attivato nel Control Panel. Aprite il vostro server e scegliete "Siti web" nella parte sinistra. Nel Sito Web in cui desidera di attivare il Header HSTS, clicca su "Modificare" e scorrere verso il basso fino a "Cifratura SSL". Nota che questa opzione è solo visibile se il sito web funziona su Nginx. Qui potete attivare e configurare HSTS.
Se un browser vede questo header di un sito web HTTPS, sa che questo dominio è accessibile solo tramite HTTPS (SSL o TLS). Rifiuterà l'accesso non criptato in seguito. Il browser memorizza queste informazioni per il tempo specificato nella max-age. Per questo motivo è importante assicurarsi che il sito web e i sottodomini eventuali siano completamente accessibili tramite HTTPS e che tutti i contenuti siano referenziati esclusivamente tramite HTTPS prima di attivare HSTS.
È una pratica comune di attivare HSTS prima con brevi periodi di tempo e poi prolungarlo gradualmente. Per esempio, iniziate con 5 minuti (300 secondi) e controllate il vostro sito web in modo approfondito. Aumentate passo dopo passo il valore di max-age fino a un'ora (3600), un giorno (86400), una settimana (604800) quando ci si sente sicuri. Si raccomanda di impostare il valore di "max-age" a più di 120 giorni (10368000), idealmente un anno (31536000).
I siti web dovrebbero mirare a utilizzare il massimo "max-age" per garantire una maggiore sicurezza per il dominio corrente nel lungo periodo.
Se questo valore è impostato su 0 secondi, le informazioni HSTS corrispondenti vengono cancellate. Aspettarte almeno il valore di tempo precedentemente inserito. Ad esempio, se si impostano 10368000 secondi (120 giorni), è necessario di aspettare almeno 120 giorni prima che le precedenti informazioni HSTS vengano eliminate in modo sicuro da tutti i browser.
Include sottodomini
Attivando l'argomento includeSottodomini, le impostazioni HSTS si applicano per tutti i sottodomini. Se si rimuove questa opzione, HTTPS è necessario solo per il dominio.
Preload
Il termine "HSTS Preload" è usato per descrivere il processo di dare ai browser una lista predefinita di informazioni HSTS per vari siti web del produttore. Questo significa che prima di visitare una pagina protetta per la prima volta, sa che deve contattarlo solo attraverso una connessione criptata. Attivando l'argomento del preload, un fornitore di liste di preload HSTS può verificare se il vostro dominio può essere inserito nella lista di precarico e se il vostro dominio, in quanto proprietario di questo dominio, siete d'accordo.
Le impostazioni possono essere verificate sul seguente sito web: https://hstspreload.org
Questa lista è stato creato dal progetto Chromium ed è utilizzato da Chrome, Firefox e Safari. Queste pagine non dipendono dal fatto che siano state create intestazioni di risposta HSTS per applicare la politica. Invece, il browser sa già che il nome a dominio da solo richiede HTTPS ed esegue HSTS prima che venga stabilita qualsiasi connessione o comunicazione.