Как включить HTTP Strict Transport Security (HSTS) в Apache

HTTP Strict Transport Security (HSTS) - это политика веб-безопасности, которая заставляет веб-браузеры и другие пользовательские агенты взаимодействовать с веб-сайтами исключительно по протоколу HTTPS. Обеспечивая безопасность соединений, HSTS минимизирует риск атак типа "человек посередине" и перехвата файлов cookie.

Современные браузеры имеют встроенную поддержку HSTS, которая делает сайты более устойчивыми к атакам с понижением протокола и перехвату файлов cookie. Когда сайт загружается по протоколу HTTPS и возвращает заголовок Strict-Transport-Security, браузер запоминает, что в течение определенного времени доступ к этому сайту должен осуществляться только через защищенные соединения.

Реализовать HSTS для вашего сайта, работающего на сервере Apache, можно с помощью простой настройки, изменив заголовок ответа. Благодаря этому улучшению пользователи всегда будут получать доступ к вашему сайту через зашифрованное соединение, даже если они по ошибке наберут http:// вместо https://.

Шаги по включению HSTS в Apache

Убедитесь, что ваш сайт имеет действующий SSL-сертификат и может быть доступен по протоколу HTTPS.

Запустите терминал.

Включите модуль заголовков для Apache.

В дистрибутивах с поддержкой a2enmod можно просто выполнить приведенную выше команду без необходимости вручную включать необходимые модули.

В CentOS и Red Hat модуль включается по умолчанию, поэтому ручное включение модулей не требуется.

Откройте файл конфигурации вашего сайта Apache с помощью удобного текстового редактора.

Добавьте Strict-Transport-Security в директиву Header в конфигурации виртуального сервера.

Убедитесь, что параметр "max-age", который представляет собой продолжительность в секундах, в течение которой браузер должен помнить политику HSTS, установлен в соответствии с вашими потребностями. Приведенная выше настройка будет хранить политику в течение одного года. Отрегулируйте его по мере необходимости.

Перезагрузите или перезапустите службу Apache, чтобы применить изменения.

Проверьте правильность внедрения HSTS, зайдя на свой сайт по HTTPS и проверив заголовки ответов.

Пример ответа

Понравилась статья? Поделиться с друзьями:
Добавить комментарий