HSTS Preload 2026 — глобальная адопция и подводные камни

Enterno.io Editorial Team

HSTS Preload: отчёт об адопции 2026

Автор: Anatoly Oshmanovsky · Обновлено 17 апреля 2026

Коротко:

Enterno.io проверил HSTS для топ-10k сайтов (март 2026). 58% отдают Strict-Transport-Security header. Из них только 24% в Chromium HSTS preload list (включён на уровне браузера). Типичные ошибки: max-age меньше 31536000 (1 год) — 18%, отсутствует includeSubDomains — 41%, preload directive без фактической подачи в список — 12%. TLS downgrade атаки всё ещё работают против 42% top-10k.

Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.

Попробовать бесплатно →

Ключевые результаты

Метрика	Pass-rate / значение	Медиана	p75
Любой HSTS header	58%	—	—
В Chromium preload list	24%	—	—
max-age ≥ 1 year	82% (из имеющих HSTS)	—	—
includeSubDomains	59%	—	—
preload directive	36%	—	—
Всё правильно (preload-ready)	31%	—	—

Разбивка по платформам

Платформа	Доля	Pass / деталь	avg LCP
Cloudflare (default HSTS config)	21%	HSTS: 100% (toggle on)	—
Fastly	4%	HSTS: 93%	—
Nginx (direct)	28%	HSTS: 52%	—
Apache (direct)	18%	HSTS: 44%	—
WordPress (general)	12%	HSTS: 39%	—
1С-Битрикс	5%	HSTS: 28%	—

Почему это важно

HSTS preload предотвращает 100% TLS stripping атак с момента первого ввода имени (без TOFU)
Ошибка в max-age (слишком низкий) позволяет атакующему ждать expire и атаковать
includeSubDomains защищает subdomain от MITM — критично для *.bank.ru паттернов
В preload list сложно попасть (требование ≥ 1 год max-age + includeSubDomains), но сложно и снять — удаление занимает 6+ мес

Методология

Crawl топ-10k Tranco (март 2026). Извлечение header Strict-Transport-Security через curl -I. Директивы max-age, includeSubDomains, preload парсятся регексом. Presence в preload list проверена через hstspreload.org/api/v2/status?domain=X.

ЗаголовкиCSP, HSTS, X-Frame-Options и др.

SSL/TLSШифрование и сертификат

КонфигурацияСерверные настройки и утечки

Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP

рекомендации

15+

заголовков безопасности

<2с

результат

A–F

оценка безопасности

Как это работает

Введите URL сайта

Анализ заголовков безопасности

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

❌

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.

❌

Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.

❌

Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.

❌

X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.

❌

Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

✓

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.

✓

Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.

✓

Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.

✓

Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.

✓

Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Гайды

Глоссарий

Исследования

Альтернативы

Часто задаваемые вопросы

В чём разница между HSTS header и preload list?

HSTS header — при первом визите сайт просит браузер «всегда используй HTTPS N секунд». Это TOFU (trust on first use) — первый визит через HTTP всё ещё уязвим. Preload list — браузер знает заранее, HTTP-редирект не требуется.

Как попасть в preload list?

1) HSTS header с max-age ≥ 31536000 (1 год), includeSubDomains и preload directive. 2) Все subdomain поддерживают HTTPS. 3) Submit на <a href="https://hstspreload.org/">hstspreload.org</a>. Chrome ревью ~1-2 недели.

Что если мне нужно убрать HSTS preload?

Процесс необратимый в короткие сроки. Снятие через hstspreload.org — Google удаляет в следующей Chrome-release cycle (~6 недель). До этого сайт работает только через HTTPS, HTTP редиректы не помогут.

Как проверить HSTS конкретного сайта?

<a href="/security">Security Scanner Enterno.io</a> проверяет все security headers включая HSTS. Или: <code>curl -I https://example.com | grep -i strict</code>.