Hlavní navigace

HSTS preload vyžaduje nově platnost alespoň jeden rok

Sdílet

Petr Krčmář 16. 10. 2017

Před několika dny byly změněny podmínky pro zařazení webu na seznam HSTS preload (commit na GitHubu). Nově musí web mít v hlavičce max-age nastaveno alespoň 31536000 sekund, tedy jeden rok. Dříve to byla doba poloviční.

Hlavička HSTS říká klientům, že se má web po určenou dobu navštěvovat výhradně po HTTPS. Preload pak umožňuje tuto informaci distribuovat rovnou s prohlížečem. Uživatel pak není náchylný na útoky typu HTTPS stripping, kdy je zamlčeno úvodní přesměrování na šifrovanou variantu pomocí HTTP. Další detaily naleznete v článku Bezpečnější šifrování HTTPS s hlavičkami HSTS a HPKP.

(Upozornil Michal Stanke.)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.