Не успели ещё все владельцы сайтов перевести свои площадки на безопасный протокол HTTPS с использованием сертификата SSL, что теперь является обязательным начальным требованием для поисковой оптимизации и нормального открытия сайта в браузерах пользователей, как ПС стали требовать применение ещё и форсированного защищённого подключения посредством технологии HSTS.
На самом деле, применение форсированного подключения ещё не является обязательным, а лишь рекомендуется к использованию. Особенно оно будет полезно для сайтов с большим количеством контента и/или старых сайтов, на которых могут быть вставки в статьи фреймов с различных сервисов, включая iFrame, JavaScript и т.д…
Не будем сейчас вникать подробно в технические детали, технического обоснования применения HSTS полно в интернете. Просто сразу перейдём к решению проблемы.
Открываем каждый свой сайт в файл htaccess корневого каталога добавляем директиву:
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
Это всё! Предельно просто, быстро и бесплатно мы форсировали наше SSL подключение браузеров пользователей и ботов к сайту. Если файла htaccess в корневом каталоге нет, просто создайте обычный файл с именем .htaccess (точка в начале имени файла обязательна). Если у вас сайт на WordPress, то данный файл есть.
HSTS будет работать даже если на сайте нет 301 редиректа с HTTP на HTTPS, хотя его нужно сделать в любом случае.
Чтобы проверить правильную работу технологии воспользуемся сервисом hstspreload.org . Просто вводим домен и смотрим результат:
После мы можем внести свой сайт в некий их список, но это, по-сути, ничего не значит и ничего не даёт:
На этом же ресурсе можете посмотреть все технические аспекты записи в .htaccess указанной выше строки (на английском языке).
Подпишись на рассылку и получай свежие кейсы первым:
