De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Habilitando o HSTS no Apache e Nginx

Colaboração: Alexandro Silva

Data de Publicação: 30 de novembro de 2012

O HTTP Strict Transport Security ou HSTS (RFC 6797) é um novo padrão de segurança SSL aprovado recentemente pelo IETF. Ele traz diversas melhorias para o SSL como forçar a utilização do HTTPS impedindo que sites sejam acessados usando o protocolo HTTP ou que partes do código de um site que está usando HTTPS seja executado em servidores usando o HTTP entre outras.

Este protocolo já é utilizado pelo Google,Paypal,Twitter e outros sites, porém necessita da adoção em massa para se tornar um padrão de fato. Ativá-lo é muito simples e ele substitui a utilização do redirecionamento forçado do HTTP para HTTPS.

No Apache

Adicione o seguinte parâmetro no VHOST do site

  Header add Strict-Transport-Security "max-age=15768000"

ou

  Strict-Transport-Security: max-age=15768000 ; includeSubDomains

O parâmetro max-age define para o navegador o período de validade em segundos que o HTTPS será forçado, nesse caso serão 6 meses. O parâmetro includeSubDomains indica que esta regra valerá para os subdominios.

No Nginx

Adicione o seguinte parâmetro no arquivo de configuração do Nginx

  add_header Strict-Transport-Security max-age=15768000;

Referências

Blog do autor: http://alexos.org

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Alexandro Silva