Hvad er HSTS?
HSTS står for HTTP Strict Transport Security og er en sikkerhedsprotokol, som tvinger webbrowsere til altid at bruge HTTPS i stedet for HTTP. Når HSTS er aktiveret, sikres det, at al kommunikation mellem brugerens browser og webserveren er krypteret. Brug af HSTS hjælper med at beskytte brugere mod “man-in-the-middle”-angreb og datatyveri.
Hvornår bruges det?
HSTS implementeres typisk på websites, der håndterer følsomme oplysninger eller brugernes data, for at sikre en stærkere HTTPS-beskyttelse. For SEO hjælper HSTS med at fjerne risikoen for, at søgemaskiner eller brugere ender på en usikker http-version af siden. Derved opretholdes både datasikkerhed og ensretning af indekserede URL’er, hvilket kan bidrage til bedre placeringer og brugeroplevelse.
Eksempel: En webshop aktiverer HSTS for at sikre, at alle besøgende automatisk sendes til deres https-version, selv hvis de indtaster webadressen med http. Derved undgår man, at kunder utilsigtet udsætter deres oplysninger for sikkerhedsbrister på den ukrypterede version.
Typiske fejl
- Glemmer at tilføje HSTS-headeren korrekt på alle sider
- Indstiller forkert max-age-værdi, så HSTS udløber for tidligt
- Aktiverer HSTS uden at have et korrekt opsat SSL-certifikat
Relaterede begreber: SSL-certifikat, HTTPS, HTTP-header
