HSTS сообщает браузерам, что домен нужно открывать только через HTTPS в течение заданного времени. Это повышает безопасность, но делает ошибки сложнее, если SSL или редиректы еще не готовы.
HSTS уместен, когда
- HTTPS корректно работает для основного домена и всех нужных поддоменов.
- Редиректы стабильны и не зацикливаются.
- Продление SSL надежно работает.
- Вы понимаете, как долго браузеры будут помнить эту политику.
Осторожно, если
- Сайт только что перенесли.
- У части поддоменов нет действительного SSL.
- Вы еще тестируете редиректы www/без www.
- Скоро планируется смена DNS или хостинга.
Начинайте с короткого max-age, прежде чем ставить большие значения или preload.
HSTS - это замок, который нужно проверить до того, как затянуть
Если хотите включить HSTS, пришлите домен и список поддоменов. Поможем проверить, безопасно ли это.
Проверить готовность HSTS