Skip to content
EN

HSTS Preload: определение, применение и примеры

Коротко:

HSTS Preload — список доменов, встроенный прямо в браузеры (Chrome, Firefox, Safari, Edge). Все запросы на preloaded домены ВСЕГДА идут по HTTPS, даже при первом визите. Зарегистрироваться можно на hstspreload.org — нужен HSTS заголовок с includeSubDomains; preload; max-age ≥ 31536000. Ultimate HTTPS-защита.

Проверить безопасность сайта →

Что такое HSTS Preload

HSTS Preload — список доменов, встроенный прямо в браузеры (Chrome, Firefox, Safari, Edge). Все запросы на preloaded домены ВСЕГДА идут по HTTPS, даже при первом визите. Зарегистрироваться можно на hstspreload.org — нужен HSTS заголовок с includeSubDomains; preload; max-age ≥ 31536000. Ultimate HTTPS-защита.

Проверить HSTS Preload онлайн

Открыть инструмент →

Как добавить домен в HSTS Preload List через HTTP-заголовок

Чтобы добавить домен в HSTS Preload List, необходимо добавить соответствующий HTTP-заголовок на сервере. Для этого выполните следующие шаги:

  • Получите доступ к настройкам сервера.
  • Добавьте HTTP-заголовок Strict-Transport-Security с параметрами includeSubDomains, preload и max-age ≥ 31536000.
  • Пример конфигурации для Apache:
  • Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  • Перезапустите веб-сервер для применения изменений.

Почему важно использовать HSTS Preload List

HSTS Preload List обеспечивает дополнительный уровень защиты для пользователей, гарантируя, что все запросы к предварительно загруженным доменам будут осуществляться по протоколу HTTPS. Это особенно важно в условиях растущего числа угроз в интернете.

Преимущества использования HSTS Preload List:

  • Защита от атак типа Man-in-the-Middle (MitM).
  • Предотвращение использования устаревших версий протоколов.
  • Повышение доверия пользователей к сайту.

Использование HSTS Preload List помогает обеспечить более безопасное соединение между пользователем и сервером.

Как проверить, добавлен ли домен в HSTS Preload List

После добавления домена в HSTS Preload List через HTTP-заголовок, необходимо проверить, был ли домен успешно добавлен. Для этого можно использовать следующие методы:

  • Проверьте наличие домена в списке на сайте hstspreload.org.
  • Используйте инструменты для мониторинга HSTS, такие как curl или wget, чтобы проверить наличие HTTP-заголовка Strict-Transport-Security на сервере.
  • Пример команды для проверки наличия заголовка с помощью curl:
  • curl -I https://example.com
  • Если домен был успешно добавлен, вы увидите соответствующий HTTP-заголовок в ответе сервера.
ЗаголовкиCSP, HSTS, X-Frame-Options и др.
SSL/TLSШифрование и сертификат
КонфигурацияСерверные настройки и утечки
Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP
рекомендации
15+
заголовков безопасности
<2с
результат
A–F
оценка безопасности

Как это работает

1

Введите URL сайта

2

Анализ заголовков безопасности

3

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.
Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.
Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.
X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.
Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.
Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.
Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.
Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.
Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Нужно ли мне HSTS Preload?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.