Праверце наяўнасць загалоўка Strict-Transport-Security і статус у Chrome preload list.
Сэрвіс HSTS Check на 101IP правярае наяўнасць загалоўка Strict-Transport-Security на вашым сайце і аналізуе яго параметры: час дзеяння, ахоп субдаменаў і дырэктыву preload. Дадаткова — праверка статусу дамена ў Chrome HSTS Preload List.
HTTP Strict Transport Security (HSTS) — механізм, які прымушае браўзер заўсёды звяртацца да сайта па HTTPS, нават калі карыстальнік уводзіць адрас без пратаколу. Гэта абараняе ад атак тыпу SSL stripping.
max-age не менш за 31 536 000 секунд (1 год);includeSubDomains;preload.Наяўнасць HTTPS не азначае аўтаматычна, што сервер адпраўляе загаловак Strict-Transport-Security. Праверце канфігурацыю сервера (Nginx або Apache) — магчыма, вы забыліся дадаць дырэктыву add_header або яна перавызначаецца ў іншым месцы. Таксама ўпэўніцеся, што ўводзіце URL з https://, бо HTTP-версія сайта не перадае HSTS.
Дырэктыва preload у загалоўку HSTS паказвае браўзерам, што сайт хоча быць уключаны ў HSTS Preload List. Наш інструмент аўтаматычна правярае статус дамена ў гэтым спісе. Калі ваш сайт там не значыцца, спачатку дадайце дырэктыву preload у загаловак, а затым падайце заяўку на hstspreload.org.
Калі ўключана дырэктыва includeSubDomains з вялікім значэннем max-age, браўзер заблакіруе доступ да любога субдамена без дзейнага HTTPS-сертыфіката. Часова выдаліце includeSubDomains, наладзьце HTTPS на праблемным субдамене, выканайце паўторную праверку HSTS з дапамогай нашага інструмента і толькі пасля гэтага вярніце дырэктыву.