Hlavní navigace

HSTS preload vyžaduje nově platnost alespoň jeden rok

Petr Krčmář

Před několika dny byly změněny podmínky pro zařazení webu na seznam HSTS preload (commit na GitHubu). Nově musí web mít v hlavičce max-age nastaveno alespoň 31536000 sekund, tedy jeden rok. Dříve to byla doba poloviční.

Hlavička HSTS říká klientům, že se má web po určenou dobu navštěvovat výhradně po HTTPS. Preload pak umožňuje tuto informaci distribuovat rovnou s prohlížečem. Uživatel pak není náchylný na útoky typu HTTPS stripping, kdy je zamlčeno úvodní přesměrování na šifrovanou variantu pomocí HTTP. Další detaily naleznete v článku Bezpečnější šifrování HTTPS s hlavičkami HSTS a HPKP.

(Upozornil Michal Stanke.)

Našli jste v článku chybu?