Skip to content
EN

HSTS Preload: отчёт об адопции 2026

Коротко:

По данным замеров (ключевые результаты): любой HSTS header — Pass-rate, значение: 58%; в Chromium preload list — Pass-rate, значение: 24%; max-age ≥ 1 year — Pass-rate, значение: 82% (из имеющих HSTS); includeSubDomains — Pass-rate, значение: 59%; preload directive — Pass-rate, значение: 36%. Полные таблицы — ниже на этой странице.

Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.

Проверить безопасность сайта →

Ключевые результаты

МетрикаPass-rate / значениеМедианаp75
Любой HSTS header58%
В Chromium preload list24%
max-age ≥ 1 year82% (из имеющих HSTS)
includeSubDomains59%
preload directive36%
Всё правильно (preload-ready)31%

Разбивка по платформам

ПлатформаДоляPass / детальavg LCP
Cloudflare (default HSTS config)21%HSTS: 100% (toggle on)
Fastly4%HSTS: 93%
Nginx (direct)28%HSTS: 52%
Apache (direct)18%HSTS: 44%
WordPress (general)12%HSTS: 39%
1С-Битрикс5%HSTS: 28%

Почему это важно

  • HSTS preload предотвращает 100% TLS stripping атак с момента первого ввода имени (без TOFU)
  • Ошибка в max-age (слишком низкий) позволяет атакующему ждать expire и атаковать
  • includeSubDomains защищает subdomain от MITM — критично для *.bank.ru паттернов
  • В preload list сложно попасть (требование ≥ 1 год max-age + includeSubDomains), но сложно и снять — удаление занимает 6+ мес

Методология

Crawl топ-10k Tranco (март 2026). Извлечение header Strict-Transport-Security через curl -I. Директивы max-age, includeSubDomains, preload парсятся регексом. Presence в preload list проверена через hstspreload.org/api/v2/status?domain=X.

Что такое HSTS Preload и почему это важно в 2026 году?

HSTS Preload — это механизм, который позволяет веб-сайтам принудительно использовать HTTPS, предотвращая атаки, связанные с перехватом трафика. В 2026 году ожидается глобальная адопция HSTS Preload, что позволит значительно повысить безопасность веб-приложений. По данным Google, количество сайтов в списке HSTS Preload увеличилось на 35% в 2023 году, и эта тенденция продолжит расти, особенно среди крупных компаний и государственных учреждений.

Технические аспекты внедрения HSTS Preload

Для добавления вашего сайта в список HSTS Preload необходимо выполнить несколько шагов. Во-первых, убедитесь, что ваш сайт поддерживает HTTPS. Затем настройте заголовок Strict-Transport-Security с параметрами, необходимыми для включения в список:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Здесь max-age указывает, сколько времени (в секундах) браузеры должны запоминать, что ваш сайт поддерживает HTTPS. Параметр includeSubDomains гарантирует, что все поддомены также будут использовать HTTPS. После настройки заголовка, вам нужно отправить запрос на добавление вашего домена в HSTS Preload list.

Важно помнить, что после добавления в список, отменить действие будет сложно, поэтому рекомендуется тщательно протестировать настройки перед отправкой.

Подводные камни и вызовы при внедрении HSTS Preload

Несмотря на преимущества, внедрение HSTS Preload может столкнуться с несколькими подводными камнями. Во-первых, если у вас есть контент, доступный только по HTTP, это может привести к проблемам с доступностью сайта. Браузеры, которые поддерживают HSTS, автоматически перенаправляют пользователей на HTTPS, и если ресурс недоступен, это может вызвать ошибки.

Также следует учитывать, что неправильно настроенные заголовки могут привести к тому, что пользователи не смогут получить доступ к вашему сайту. Некоторые администраторы допускают ошибки при установке параметров max-age, что может привести к длительным блокировкам. Например, если вы установите значение параметра max-age, соответствующее периоду в 1 год (как в 82% случаев среди сайтов с настроенным HSTS), а затем решите отключить HSTS, пользователи будут продолжать получать ошибки в течение следующего года.

Кроме этого, необходимо следить за изменениями в браузерах и их поддержкой HSTS. Например, некоторые браузеры могут иметь разные требования к параметрам конфигурации, поэтому важно тестировать сайт в разных средах. В 2026 году, с увеличением числа пользователей и устройств, поддерживающих HSTS, администраторы должны быть готовы к изменениям и обновлениям в спецификациях.

ЗаголовкиCSP, HSTS, X-Frame-Options и др.
SSL/TLSШифрование и сертификат
КонфигурацияСерверные настройки и утечки
Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP
рекомендации
15+
заголовков безопасности
<2с
результат
A–F
оценка безопасности

Как это работает

1

Введите URL сайта

2

Анализ заголовков безопасности

3

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.
Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.
Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.
X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.
Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.
Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.
Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.
Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.
Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

В чём разница между HSTS header и preload list?

HSTS header — при первом визите сайт просит браузер «всегда используй HTTPS N секунд». Это TOFU (trust on first use) — первый визит через HTTP всё ещё уязвим. Preload list — браузер знает заранее, HTTP-редирект не требуется.

Как попасть в preload list?

1) HSTS header с max-age ≥ 31536000 (1 год), includeSubDomains и preload directive. 2) Все subdomain поддерживают HTTPS. 3) Submit на <a href="https://hstspreload.org/">hstspreload.org</a>. Chrome ревью ~1-2 недели.

Что если мне нужно убрать HSTS preload?

Процесс необратимый в короткие сроки. Снятие через hstspreload.org — Google удаляет в следующей Chrome-release cycle (~6 недель). До этого сайт работает только через HTTPS, HTTP редиректы не помогут.

Как проверить HSTS конкретного сайта?

<a href="/security">Security Scanner Enterno.io</a> проверяет все security headers включая HSTS. Или: <code>curl -I https://example.com | grep -i strict</code>.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.