HSTS (HTTP Strict Transport Security) - это технология, которая позволяет открыть в браузере только HTTPS версию сайта. Пользователи автоматически перенаправляются на безопасное соединение при попытке открыть страницы по HTTP.
Вспомним, что для поисковиков один и тот же домен с HTTPS и с HTTP - это разные сайты. При переезде с HTTP на HTTPS используется 301 редирект, но его уже недостаточно.
Чем HSTS лучше 301 редиректа?
В случае редиректа при вводе домена в формате «http://site.ru» и «site.ru» вначале выводится незащищенная версия сайта и только потом происходит перенаправление на HTTPS. В этот момент пользователь уязвим для атак, направленных на перехват соединения с веб-ресурсом. В частности, мошенники могут перенаправить пользователя на подставную страницу.Механизм HSTS позволяет сразу же устанавливать безопасное соединение, что защищает от даунгрейд-атак.
Если SSL сертификат окажется просроченным, пользователь не сможет зайти на сайт по HTTP. Обойти HSTS не получится.
Как HSTS влияет на SEO?
- Ускоряет загрузку ресурса за счет уменьшения числа запросов между сайтом и сервером.
- Позволяет решить проблему смешанного контента.
Смешанный контент - это javascript и iframe, передаваемые по HTTP-протоколу. Для подобных страниц в браузере появляется уведомление о потенциальном риске использования сайта и отображается красный восклицательный знак, что негативно влияет на поведенческие факторы.
Соединение HSTS решает указанную проблему: библиотеки javascript и код iframe всегда открываются по HTTPS.
Как настроить HSTS на сайте
Технология HSTS бесплатная, и внедрить ее на своем на своем сайте можно двумя способами:1. Подключить через личный кабинет хостинг-провайдера. Если на вашем хостинге такой возможности нет, переходим к способу #2.
2. Прописать в файле .htaccess директиву для сервера формата:
add_header Strict-Transport-Security "max-age=31536000; preload”
где max-age=[значение] определяет время в СЕКУНДАХ, в течение которого сайт будет доступен только по HTTPS.
Если вам нужно применить правило к основному домену и всем поддоменам, добавляется параметр includeSubDomains:
Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Удалять 301 редирект не следует: он позволяет сохранить ссылочный профиль сайта.
