Як увімкнути HTTP Strict Transport Security (HSTS) на Apache та Nginx
Колеги всім привіт.
У сьогоднішній статті ми поговоримо про те як можна включити в HTTP заголовках заголовок додаткової безпеки вашого сайту який називається HTTP Strict Transport Security, якщо коротко його ще називають HSTS.
HTTP заголовок HTTP Strict Transport Security було створено ще у 2012 році. Цей заголовок використовується, щоб змусити веб-браузер використовувати безпечні з'єднання, коли сайт працює через протокол HTTPS. У той момент, коли користувач захоче спробувати використовувати незахищену версію (HTTP) сторінки вашого сайту, він відразу буде автоматично перенаправлений на захищену версію HTTPS сторінку. Заголовок HTTP Strict Transport Security не дозволить зловмиснику перевизначити повідомлення про недійсний сертифікат.
Існує кілька різних способів та директив, які можна застосовувати до заголовка HSTS і ми будемо використовувати найпростіший спосіб з використанням директиви max-age. Директива max-age визначає час у секундах, протягом якого веб-сервер повинен доставляти контент лише через протокол HTTPS. Найкраще вказувати час 1 рік на секундах.
Вміст статті:
- Увімкнення заголовка HTTP Strict Transport Security в Apache.
- Увімкнення заголовка HTTP Strict Transport Security в Nginx.
1. Увімкнення заголовка HTTP Strict Transport Security в Apache.
Щоб увімкнути HTTP заголовок HTTP Strict Transport Security на веб-сервері Apache, потрібно в основному конфігураційному файлі веб-сервера додати спеціальну директиву max-age. Залежно від вашої операційної системи Linux, конфігураційний файл може зберігатися в різних директоріях.
Відкриваємо конфігураційний файл веб-сервера Apache будь-яким зручним для вас текстовим редактором.
Debian/Ubuntu
$. sudo vim /etc/apache2/apache2.conf
RHEL/CentOS
$. sudo vim /etc/httpd/conf/httpd.conf
Додаємо директиву max-age на початок файлу.
Header always set Strict-Transport-Security max-age=31536000
Після додавання директиви обов'язково перезапускаємо веб-сервер Apache щоб наші зміни успішно застосувалися.
Debian/Ubuntu
$. sudo service apache2 restart
RHEL/CentOS
$. sudo service httpd restart
Перезапускаємо браузер та перевіряємо.
Як бачимо в результаті тепер наш веб-сервер Apache успішно передає нам HTTP заголовок HTTP Strict Transport Security.
2. Увімкнення заголовка HTTP Strict Transport Security у Nginx.
Щоб увімкнути HTTP заголовок HTTP Strict Transport Security на веб-сервері Nginx, вам потрібно в основному конфігураційному файлі веб-сервера додати спеціальну директиву. Основний конфігураційний файл Nginx знаходиться на шляху /etc/nginx і називається nginx.conf .
Відкриваємо конфігураційний файл веб-сервера Nginx будь-яким зручним для вас текстовим редактором.
$. sudo vim /etc/nginx/nginx.conf
Додаємо директиву до http об'єкта.
http {
add_header Strict-Transport-Security "max-age=31536000";
}
Після додавання директиви обов'язково перезапускаємо веб-сервер Nginx щоб наші зміни успішно застосувалися.
$. sudo service nginx restart
Перезапускаємо браузер та перевіряємо.
Як бачимо в результаті тепер наш веб-сервер Nginx успішно передає нам HTTP заголовок HTTP Strict Transport Security.
Дякую всім, я сподіваюся що вам моя стаття хоч чимось допомогла.
