Co to jest HSTS i dlaczego warto go skonfigurować?
HSTS (HTTP Strict Transport Security) to mechanizm bezpieczeństwa, który wymusza korzystanie z HTTPS na stronie internetowej. Po jego aktywacji przeglądarka zapamiętuje, że dana witryna zawsze powinna być ładowana przez HTTPS, co uniemożliwia przechwycenie połączenia przez ataki typu Man-in-the-Middle (MITM).
Korzyści z HSTS:
- Lepsza ochrona przed atakami MITM – użytkownik nigdy nie połączy się przez HTTP, nawet jeśli wpisze http://,
- Zapobieganie przypadkowemu przejściu na HTTP – eliminacja ryzyka błędnych przekierowań,
- Poprawa bezpieczeństwa SSL/TLS – przeglądarka odrzuca nieprawidłowe certyfikaty SSL,
- Lepsza zgodność z politykami bezpieczeństwa Google – zalecane dla stron e-commerce, bankowości i serwisów logowania.
Jak skonfigurować HSTS w DirectAdmin?
Aby włączyć HSTS, wystarczy dodać odpowiednią regułę w pliku .htaccess.
- Zaloguj się do DirectAdmin
- Przejdź do Menedżera plików w DirectAdmin (https://s1.nowyinternet.pl:2222),
- Otwórz katalog /public_html/,
- Znajdź plik .htaccess (jeśli go nie ma, utwórz nowy).
- Dodanie nagłówka HSTS w .htaccess
- Otwórz plik .htaccess i dodaj następującą regułę:
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS </IfModule>
- Otwórz plik .htaccess i dodaj następującą regułę:
Co oznaczają te ustawienia?
- max-age=31536000 – Przeglądarka pamięta HSTS przez 1 rok (31536000 sekund),
- includeSubDomains – HSTS obejmuje również subdomeny,
- preload – Umożliwia dodanie strony do globalnej listy HSTS (więcej w punkcie 4).
Zapisz plik .htaccess i przetestuj stronę, aby upewnić się, że wszystko działa poprawnie.
Wymuszenie HTTPS w .htaccess (jeśli jeszcze tego nie zrobiłeś)
Jeśli nie masz jeszcze przekierowania HTTPS, dodaj ten kod na początku .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]To zapewni, że użytkownicy zawsze będą przekierowywani na HTTPS, zanim przeglądarka zapamięta HSTS.
Dodanie strony do globalnej listy HSTS Preload
Możesz dodać swoją stronę do oficjalnej listy HSTS Preload, dzięki czemu przeglądarki nigdy nie załadują jej przez HTTP.
- Przejdź na stronę: https://hstspreload.org/.
- Wpisz swoją domenę i kliknij Submit.
- Jeśli Twoja konfiguracja jest poprawna, zostaniesz dodany do globalnej listy.
Uwaga: Jeśli zdecydujesz się na preload, upewnij się, że nigdy nie planujesz wracać do HTTP, ponieważ cofnięcie zmian jest trudne.
5. Testowanie poprawności konfiguracji HSTS
Po wdrożeniu HSTS sprawdź, czy działa poprawnie:
W Google Chrome:
- Otwórz stronę.
- Otwórz konsolę deweloperską (F12 → zakładka Security).
- Sprawdź, czy pojawia się wpis Strict-Transport-Security.
Podsumowanie
|
Krok |
Działanie |
|---|---|
|
1. Edytuj .htaccess |
Dodaj regułę HSTS, aby wymusić HTTPS. |
|
2. Włącz przekierowanie HTTPS |
Jeśli jeszcze tego nie zrobiłeś, wymuś HTTPS w .htaccess. |
|
3. Sprawdź konfigurację |
Testuj HSTS w Chrome lub narzędziach online. |
|
4. (Opcjonalnie) Dodaj do listy HSTS Preload |
Jeśli jesteś pewien, że zawsze będziesz używać HTTPS. |
Dzięki HSTS Twoja strona będzie działać wyłącznie w trybie HTTPS, co poprawi jej bezpieczeństwo i zgodność z najlepszymi praktykami internetowymi.
Jeśli napotkasz problemy, skontaktuj się z pomocą techniczną NowyInternet.pl przez Panel Klienta: https://panel.nowyinternet.pl.
