Strict-Transport-Security (HSTS)
O HTTP Strict Transport Security (HSTS) é um cabeçalho de segurança que informa ao navegador que o site só deve ser acessado via HTTPS. Qualquer tentativa futura de acesso via HTTP será convertida automaticamente para HTTPS pelo navegador, antes mesmo da requisição ser enviada para a rede.
Por que é vital?
Ele protege contra ataques de SSL Stripping, onde um atacante intercepta a requisição HTTP inicial (que ocorre antes do redirecionamento para HTTPS) e mantém o usuário em uma versão falsa e insegura do site.
Como fazer vs Como não fazer
✅ Como fazer
- Utilize um
max-agelongo (pelo menos 1 ano):Strict-Transport-Security: max-age=31536000; includeSubDomains; preload - Inclua a diretiva
includeSubDomainspara proteger todos os subdomínios da empresa. - Utilize a diretiva
preloade submeta seu domínio para a lista de preload dos navegadores (hstspreload.org) para que o primeiro acesso de qualquer usuário já seja forçado para HTTPS.
❌ Como não fazer
- Não ative o HSTS se o seu site ou subdomínios não suportarem HTTPS perfeitamente, pois isso tornará o site inacessível para os usuários.
- Não utilize um
max-agemuito curto (ex: apenas algumas horas) em produção, pois isso reduz a janela de proteção do usuário. - Não ative a diretiva
preloadsem ter certeza absoluta de que manterá o suporte a HTTPS em todos os subdomínios permanentemente, pois a remoção da lista de preload pode levar meses.