ServerRecords

Yardım ve Sorun Giderme

HSTS

Bu nedir

Strict-Transport-Security başlığı, tarayıcılara sitenle max-age saniye boyunca yalnızca HTTPS üzerinden iletişim kurmalarını söyler ve http:// isteklerindeki, saldırganların istismar edebileceği kısa korumasız pencereyi ortadan kaldırır.

Sonucunu nasıl okumalısın

Sağlıklı: başlık HTTPS yanıtlarında en az bir yıllık (31536000) max-age ile, ideal olarak includeSubDomains ile bulunur. HTTP yanıtlarındaki başlık tarayıcılar tarafından yok sayılır — HTTPS üzerinden sunulmalıdır.

Sık karşılaşılan sorunlar ve çözümleri

HSTS başlığı yok

Nasıl ortaya çıkar: Her ilk ziyaret ve yazılan her http:// URL'si, bir ağ saldırganının ele geçirip düz HTTP'te tutabileceği bir korumasız istek yapar.

Nasıl düzeltilir: Web sunucusuna veya CDN'e Strict-Transport-Security: max-age=31536000; includeSubDomains ekle. Her alt alan adının HTTPS sunduğundan emin değilsen daha kısa bir max-age ile (örneğin 86400) başla, sonra yükselt.

max-age çok kısa

Nasıl ortaya çıkar: Tarama araçları sitenin puanını düşürür; koruma, seyrek ziyaretçiler için kesintiye uğrar.

Nasıl düzeltilir: HTTPS, politikanın kapsadığı her yerde kararlı olduğunda max-age'i en az 31536000'e (bir yıl) yükselt.

includeSubDomains yalnızca HTTP kullanan bir alt alan adını bozdu

Nasıl ortaya çıkar: Bir iç veya eski alt alan adı, ana siteyi ziyaret eden herkes için ulaşılamaz hale geldi — tarayıcılar üzerinde HTTPS'i zorlar.

Nasıl düzeltilir: Ya o alt alan adını HTTPS üzerinden sun (en iyisi) ya da includeSubDomains'i kaldır ve önbelleğe alınmış politikaların sona ermesini bekle — bu, eski max-age kadar sürer. includeSubDomains'in önce bir denetimi hak etmesinin nedeni budur.

Bu kayıt için bir sorgulama çalıştır