SEOMaster
HTTP Strict Transport Security (HSTS)
Wymusza HTTPS na stałe.
Co to jest HTTP Strict Transport Security?
HSTS to nagłówek, którym serwer każe przeglądarce łączyć się z domeną wyłącznie po HTTPS — przez zadany czas, nawet jeśli ktoś wpisze http:// albo kliknie stary link.
Po pierwszej wizycie przeglądarka zapamiętuje regułę i sama zamienia http na https, zanim wyśle jakiekolwiek żądanie. To zamyka okno na atak, w którym napastnik przechwytuje pierwsze, nieszyfrowane połączenie.
Dlaczego to ważne dla SEO
Samo przekierowanie z http na https zostawia jedno nieszyfrowane żądanie, które można przejąć. HSTS eliminuje ten moment i jest standardem dla stron z logowaniem czy płatnościami.
Jak to sprawdzić
Sprawdź w nagłówkach odpowiedzi obecność Strict-Transport-Security. Zacznij od krótkiego max-age, a po testach zwiększ do roku. Dodanie do listy preload wymaga includeSubDomains oraz preload.
Częste błędy
- includeSubDomains, gdy któraś subdomena nie ma HTTPS
- Zbyt długi max-age od razu (trudno cofnąć przy błędzie)
- Włączenie HSTS, zanim HTTPS w pełni działa
Przykład
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload