Проверьте наличие заголовка Strict-Transport-Security и статус в Chrome preload list.
Инструмент HSTS Check от 101ip.ru — это бесплатная онлайн-утилита для проверки заголовка Strict-Transport-Security (HSTS) вашего сайта. HSTS — это механизм веб-безопасности, который предписывает браузеру взаимодействовать с сервером исключительно по защищённому протоколу HTTPS, игнорируя попытки подключения по HTTP. С помощью нашей проверки вы можете убедиться, что ваш веб-ресурс настроен корректно, защищён от атак типа понижения версии протокола (downgrade attack) и перехвата cookie. Для анализа достаточно ввести домен (например, example.com) или полный URL (https://example.com). Сервис автоматически определит, отправляет ли ваш сервер заголовок HSTS, и покажет все его ключевые параметры: max-age, includeSubDomains и preload.
Безопасность сайта в современных условиях — это не просто HTTPS, а правильная политика HSTS. Если вы владелец сайта, разработчик или администратор, регулярная проверка заголовка Strict-Transport-Security помогает предотвратить уязвимости. Инструмент работает в реальном времени, не требует регистрации и установки. Просто введите адрес и нажмите «Проверить». Результат отображается в наглядном виде: указано значение max-age в секундах, наличие директив includeSubDomains и preload, а также статус включения вашего домена в предустановленный список HSTS Preload List браузера Chrome.
Правильная настройка HSTS заголовка требует понимания его директив. Наш инструмент HSTS Check анализирует каждую из них по-отдельности:
Помимо этих параметров, инструмент валидирует синтаксис заголовка. Если заголовок отсутствует или содержит ошибки (например, неправильный формат даты), вы получите соответствующее уведомление. Это особенно полезно при тестировании после изменений конфигурации веб-сервера (Apache, Nginx, IIS).
После завершения сканирования, инструмент HSTS Check на странице 101ip.ru показывает один из трёх возможных статусов:
Также отображается сырое значение заголовка для детального анализа. Вы можете скопировать его для отчёта или сравнения с другими инструментами. Помните, что для правильной работы проверки домен должен быть разрешён в DNS, а сервер должен отвечать на HTTPS-запросы.
На основе данных, полученных в результате проверки HSTS, вы можете приступить к настройке или улучшению конфигурации. Вот несколько рекомендаций:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;.Это может означать, что ваш веб-сервер или CDN не отправляет заголовок Strict-Transport-Security в ответе. Проверьте конфигурацию сервера (Nginx, Apache) — возможно, вы забыли добавить директиву add_header или она переопределяется. Также убедитесь, что вы вводите полный URL с https://, так как HTTP-версия сайта может не передавать HSTS.
Директива preload в HSTS заголовке говорит браузерам, что сайт хотел бы быть включённым в предустановленный список (HSTS Preload List). Наш инструмент автоматически проверяет статус домена в этом списке. Если ваш сайт там не числится, вам нужно сначала добавить директиву preload в заголовок, а затем подать заявку на hstspreload.org.
Если у вас включена директива includeSubDomains и вы используете max-age с большим значением, браузер заблокирует доступ к любому поддомену, у которого нет валидного HTTPS. Временно удалите includeSubDomains, настройте HTTPS на проблемном поддомене, проведите повторную проверку HSTS с помощью нашего инструмента, и только после этого верните директиву.
Проверьте другие инструменты для анализа безопасности вашего сайта: