Guida e risoluzione dei problemi
HSTS
Di cosa si tratta
L'header Strict-Transport-Security dice ai browser di contattare il tuo sito esclusivamente tramite HTTPS per max-age secondi, eliminando la breve finestra non protetta sulle richieste http:// che gli attaccanti possono sfruttare.
Come leggere il risultato
Sano: l'header presente sulle risposte HTTPS con un max-age di almeno un anno (31536000), idealmente includeSubDomains. L'header sulle risposte HTTP viene ignorato dai browser: deve essere servito su HTTPS.
Problemi comuni e come risolverli
Nessun header HSTS
Come si manifesta: Ogni prima visita e ogni URL http:// digitato genera una richiesta non protetta che un attaccante di rete può intercettare e mantenere su HTTP in chiaro.
Come risolverlo: Aggiungi Strict-Transport-Security: max-age=31536000; includeSubDomains sul server web o sulla CDN. Inizia con un max-age più breve (ad es. 86400) se non sei sicuro che ogni sottodominio serva HTTPS, poi aumentalo.
max-age troppo breve
Come si manifesta: Gli scanner penalizzano il sito; la protezione decade per i visitatori infrequenti.
Come risolverlo: Aumenta max-age ad almeno 31536000 (un anno) una volta che l'HTTPS è stabile ovunque la policy copra.
includeSubDomains ha rotto un sottodominio solo HTTP
Come si manifesta: Qualche sottodominio interno o legacy è diventato irraggiungibile per chiunque abbia visitato il sito principale: i browser forzano l'HTTPS su di esso.
Come risolverlo: O servi quel sottodominio su HTTPS (la scelta migliore) oppure rimuovi includeSubDomains e attendi che le policy in cache scadano, il che richiede tanto tempo quanto il vecchio max-age. Ecco perché includeSubDomains merita prima un audit.