Che cosa è HSTS?
HTTP Strict Transport Security (HSTS) è un meccanismo di sicurezza per le connessioni HTTPS.
Se HSTS è attivato, il server web invia un header aggiuntivo (Strict Transport Security) per le connessioni HTTPS con l’informazione che il sito web richiesto deve essere accessibile solo attraverso una connessione criptata per un certo periodo di tempo.
Come attivare HSTS?
Il Header HSTS può essere attivato nel Panello di controllo Hostpoint come segue:
- Acceda al Pannello di controllo Hostpoint con il Suo Hostpoint ID.
- Apra il Suo server e scelga “Siti web” nella parte sinistra.
- Nel sito web in cui desidera attivare il Header HSTS, faccia clic su “Modificare”.
- Scorra verso il basso fino alla sezione “Cifratura SSL” ed espandila.
- Qui può attivare e configurare HSTS.
Nota: Nota che questa opzione è solo visibile se il sito web funziona su Nginx.
Se un browser vede questo header di un sito web HTTPS, sa che questo dominio è accessibile solo tramite HTTPS (SSL o TLS). Rifiuterà l’accesso non criptato in seguito. Il browser memorizza queste informazioni per il tempo specificato nella max-age. Per questo motivo è importante assicurarsi che il sito web e i sottodomini eventuali siano completamente accessibili tramite HTTPS e che tutti i contenuti siano referenziati esclusivamente tramite HTTPS prima di attivare HSTS.
È una pratica comune di attivare HSTS prima con brevi periodi di tempo e poi prolungarlo gradualmente. Per esempio, inizi con 5 minuti (300 secondi) e controlli il Suo sito web in modo approfondito. Aumenti passo dopo passo il valore di “max-age” fino a un’ora (3600), un giorno (86400), una settimana (604800) quando ci si sente sicuri. Si raccomanda di impostare il valore di “max-age” a più di 120 giorni (10368000), idealmente un anno (31536000).
I siti web dovrebbero mirare a utilizzare il massimo “max-age” per garantire una maggiore sicurezza per il dominio corrente nel lungo periodo.
Se questo valore è impostato su 0 secondi, le informazioni HSTS corrispondenti vengono cancellate. Aspetti almeno il valore di tempo precedentemente inserito. Ad esempio, se si impostano 10368000 secondi (120 giorni), è necessario di aspettare almeno 120 giorni prima che le precedenti informazioni HSTS vengano eliminate in modo sicuro da tutti i browser.
IncludeSubdomains
Attivando l’opzione “IncludeSubdomains”, le impostazioni HSTS si applicano per tutti i sottodomini. Se disattiva questa opzione, HTTPS è necessario solo per il dominio principale.
Preload
Il termine “HSTS Preload” è usato per descrivere il processo di dare ai browser una lista predefinita di informazioni HSTS per vari siti web del produttore. Questo significa che prima di visitare un sito web protetto per la prima volta, sa che deve contattarlo solo attraverso una connessione criptata. Attivando l’opzione del preload, un fornitore di liste di preload HSTS può verificare se il Suo dominio può essere inserito nella lista di precarico e se Lei, in quanto proprietario di questo dominio, è d’accordo.
Le impostazioni possono essere verificate sul seguente sito web: https://hstspreload.org
Questa lista è stato creato dal progetto Chromium ed è utilizzata dalla maggior parte dei principali browser. Queste pagine non dipendono dal fatto che siano state create intestazioni di risposta HSTS per applicare la politica. Invece, il browser sa già che il nome a dominio da solo richiede HTTPS ed esegue HSTS prima che venga stabilita qualsiasi connessione o comunicazione.
Per richieste di supporto la preghiamo di usare invece questo modulo.