Yardım ve Sorun Giderme
HSTS
Bu nedir
Strict-Transport-Security başlığı, tarayıcılara sitenle max-age saniye boyunca yalnızca HTTPS üzerinden iletişim kurmalarını söyler ve http:// isteklerindeki, saldırganların istismar edebileceği kısa korumasız pencereyi ortadan kaldırır.
Sonucunu nasıl okumalısın
Sağlıklı: başlık HTTPS yanıtlarında en az bir yıllık (31536000) max-age ile, ideal olarak includeSubDomains ile bulunur. HTTP yanıtlarındaki başlık tarayıcılar tarafından yok sayılır — HTTPS üzerinden sunulmalıdır.
Sık karşılaşılan sorunlar ve çözümleri
HSTS başlığı yok
Nasıl ortaya çıkar: Her ilk ziyaret ve yazılan her http:// URL'si, bir ağ saldırganının ele geçirip düz HTTP'te tutabileceği bir korumasız istek yapar.
Nasıl düzeltilir: Web sunucusuna veya CDN'e Strict-Transport-Security: max-age=31536000; includeSubDomains ekle. Her alt alan adının HTTPS sunduğundan emin değilsen daha kısa bir max-age ile (örneğin 86400) başla, sonra yükselt.
max-age çok kısa
Nasıl ortaya çıkar: Tarama araçları sitenin puanını düşürür; koruma, seyrek ziyaretçiler için kesintiye uğrar.
Nasıl düzeltilir: HTTPS, politikanın kapsadığı her yerde kararlı olduğunda max-age'i en az 31536000'e (bir yıl) yükselt.
includeSubDomains yalnızca HTTP kullanan bir alt alan adını bozdu
Nasıl ortaya çıkar: Bir iç veya eski alt alan adı, ana siteyi ziyaret eden herkes için ulaşılamaz hale geldi — tarayıcılar üzerinde HTTPS'i zorlar.
Nasıl düzeltilir: Ya o alt alan adını HTTPS üzerinden sun (en iyisi) ya da includeSubDomains'i kaldır ve önbelleğe alınmış politikaların sona ermesini bekle — bu, eski max-age kadar sürer. includeSubDomains'in önce bir denetimi hak etmesinin nedeni budur.