HSTS сообщает браузерам, что домен нужно открывать только через HTTPS в течение заданного времени. Это повышает безопасность, но делает ошибки сложнее, если SSL или редиректы еще не готовы.
HSTS уместен, когда
- HTTPS корректно работает для основного домена и всех нужных поддоменов.
- Редиректы стабильны и не зацикливаются.
- Продление SSL надежно работает.
- Вы понимаете, как долго браузеры будут помнить эту политику.
Осторожно, если
- Сайт только что перенесли.
- У части поддоменов нет действительного SSL.
- Вы еще тестируете редиректы www/без www.
- Скоро планируется смена DNS или хостинга.
Начинайте с короткого max-age, прежде чем ставить большие значения или preload.
Осторожно с HSTS
- HSTS заставляет браузер открывать сайт по HTTPS при следующих посещениях.
- Включайте его только после того, как сертификат и редиректы работают стабильно.
- Будьте осторожны с includeSubDomains, если не все поддомены имеют рабочий HTTPS.
- Preload - долгосрочное решение на уровне браузеров, его нельзя включать “на пробу”.
Эта страница относится к более широкой теме. Если нужна полная картина, начните с основной инструкции.
Открыть основную инструкциюПришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.
Как безопасно проверить SSL и HTTPS
При работе с SSL важно проверить не только наличие сертификата, но и цепочку сертификатов, срок действия, редирект с HTTP на HTTPS и отсутствие смешанного контента. Иногда сертификат установлен правильно, но браузер показывает предупреждение из-за ссылок на изображения или скрипты по HTTP.
- проверьте, на какой домен выпущен сертификат;
- убедитесь, что DNS уже указывает на нужный сервер;
- проверьте www и non-www версии сайта;
- после включения HTTPS проверьте формы, оплату и авторизацию.
Если используется Cloudflare или другой прокси-сервис, важно понимать, где установлен сертификат: на стороне прокси, на хостинге или в обоих местах.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «HSTS: когда строгий HTTPS помогает и когда он рискован», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
