Hlavní navigace

Google začíná nasazovat HSTS

Petr Krčmář

Google na svém bezpečnostním blogu oznámil, že začíná s nasazováním HSTS. Přibližně 80 % požadavků dnes servery vyřizují pomocí HTTPS a Google chce bezpečnost ještě zvýšit. Taková změna ale vyžaduje nemalé přípravy, například je potřeba vyřešit mixed content nebo odstranit přesměrování na HTTP.

V tuto chvíli je HSTS nasazené pouze na Google.com a parametr max-age je nastaven na jeden den. Během několika měsíců by měla být hodnota zvýšena na jeden rok.

HSTS umožňuje v HTTP hlavičce klientovi sdělit, že na dané doméně (případně i subdoménách) musí být komunikace vedená vždy pomocí HTTPS a vždy s důvěryhodným certifikátem. Cílem je především zabránit úvodnímu přesměrování po HTTP, které může být zmanipulováno. Jakmile se klient od serveru HSTS podmínku naučí, vždy přichází rovnou po HTTPS.

Našli jste v článku chybu?