HSTS сообщает браузерам, что домен нужно открывать только через HTTPS в течение заданного времени. Это повышает безопасность, но делает ошибки сложнее, если SSL или редиректы еще не готовы.

HSTS уместен, когда

  • HTTPS корректно работает для основного домена и всех нужных поддоменов.
  • Редиректы стабильны и не зацикливаются.
  • Продление SSL надежно работает.
  • Вы понимаете, как долго браузеры будут помнить эту политику.

Осторожно, если

  • Сайт только что перенесли.
  • У части поддоменов нет действительного SSL.
  • Вы еще тестируете редиректы www/без www.
  • Скоро планируется смена DNS или хостинга.

Начинайте с короткого max-age, прежде чем ставить большие значения или preload.

Осторожно с HSTS

  • HSTS заставляет браузер открывать сайт по HTTPS при следующих посещениях.
  • Включайте его только после того, как сертификат и редиректы работают стабильно.
  • Будьте осторожны с includeSubDomains, если не все поддомены имеют рабочий HTTPS.
  • Preload - долгосрочное решение на уровне браузеров, его нельзя включать “на пробу”.
Главная статья по этой теме

Эта страница относится к более широкой теме. Если нужна полная картина, начните с основной инструкции.

Открыть основную инструкцию
Проблемы HTTPS и безопасности проще решать по точным симптомам

Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.

Как безопасно проверить SSL и HTTPS

При работе с SSL важно проверить не только наличие сертификата, но и цепочку сертификатов, срок действия, редирект с HTTP на HTTPS и отсутствие смешанного контента. Иногда сертификат установлен правильно, но браузер показывает предупреждение из-за ссылок на изображения или скрипты по HTTP.

  • проверьте, на какой домен выпущен сертификат;
  • убедитесь, что DNS уже указывает на нужный сервер;
  • проверьте www и non-www версии сайта;
  • после включения HTTPS проверьте формы, оплату и авторизацию.

Если используется Cloudflare или другой прокси-сервис, важно понимать, где установлен сертификат: на стороне прокси, на хостинге или в обоих местах.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «HSTS: когда строгий HTTPS помогает и когда он рискован», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.