По данным замеров (ключевые результаты): любой HSTS header — Pass-rate, значение: 58%; в Chromium preload list — Pass-rate, значение: 24%; max-age ≥ 1 year — Pass-rate, значение: 82% (из имеющих HSTS); includeSubDomains — Pass-rate, значение: 59%; preload directive — Pass-rate, значение: 36%. Полные таблицы — ниже на этой странице.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
| Метрика | Pass-rate / значение | Медиана | p75 |
|---|---|---|---|
| Любой HSTS header | 58% | — | — |
| В Chromium preload list | 24% | — | — |
| max-age ≥ 1 year | 82% (из имеющих HSTS) | — | — |
| includeSubDomains | 59% | — | — |
| preload directive | 36% | — | — |
| Всё правильно (preload-ready) | 31% | — | — |
| Платформа | Доля | Pass / деталь | avg LCP |
|---|---|---|---|
| Cloudflare (default HSTS config) | 21% | HSTS: 100% (toggle on) | — |
| Fastly | 4% | HSTS: 93% | — |
| Nginx (direct) | 28% | HSTS: 52% | — |
| Apache (direct) | 18% | HSTS: 44% | — |
| WordPress (general) | 12% | HSTS: 39% | — |
| 1С-Битрикс | 5% | HSTS: 28% | — |
Crawl топ-10k Tranco (март 2026). Извлечение header Strict-Transport-Security через curl -I. Директивы max-age, includeSubDomains, preload парсятся регексом. Presence в preload list проверена через hstspreload.org/api/v2/status?domain=X.
HSTS Preload — это механизм, который позволяет веб-сайтам принудительно использовать HTTPS, предотвращая атаки, связанные с перехватом трафика. В 2026 году ожидается глобальная адопция HSTS Preload, что позволит значительно повысить безопасность веб-приложений. По данным Google, количество сайтов в списке HSTS Preload увеличилось на 35% в 2023 году, и эта тенденция продолжит расти, особенно среди крупных компаний и государственных учреждений.
Для добавления вашего сайта в список HSTS Preload необходимо выполнить несколько шагов. Во-первых, убедитесь, что ваш сайт поддерживает HTTPS. Затем настройте заголовок Strict-Transport-Security с параметрами, необходимыми для включения в список:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preloadЗдесь max-age указывает, сколько времени (в секундах) браузеры должны запоминать, что ваш сайт поддерживает HTTPS. Параметр includeSubDomains гарантирует, что все поддомены также будут использовать HTTPS. После настройки заголовка, вам нужно отправить запрос на добавление вашего домена в HSTS Preload list.
Важно помнить, что после добавления в список, отменить действие будет сложно, поэтому рекомендуется тщательно протестировать настройки перед отправкой.
Несмотря на преимущества, внедрение HSTS Preload может столкнуться с несколькими подводными камнями. Во-первых, если у вас есть контент, доступный только по HTTP, это может привести к проблемам с доступностью сайта. Браузеры, которые поддерживают HSTS, автоматически перенаправляют пользователей на HTTPS, и если ресурс недоступен, это может вызвать ошибки.
Также следует учитывать, что неправильно настроенные заголовки могут привести к тому, что пользователи не смогут получить доступ к вашему сайту. Некоторые администраторы допускают ошибки при установке параметров max-age, что может привести к длительным блокировкам. Например, если вы установите значение параметра max-age, соответствующее периоду в 1 год (как в 82% случаев среди сайтов с настроенным HSTS), а затем решите отключить HSTS, пользователи будут продолжать получать ошибки в течение следующего года.
Кроме этого, необходимо следить за изменениями в браузерах и их поддержкой HSTS. Например, некоторые браузеры могут иметь разные требования к параметрам конфигурации, поэтому важно тестировать сайт в разных средах. В 2026 году, с увеличением числа пользователей и устройств, поддерживающих HSTS, администраторы должны быть готовы к изменениям и обновлениям в спецификациях.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)HSTS header — при первом визите сайт просит браузер «всегда используй HTTPS N секунд». Это TOFU (trust on first use) — первый визит через HTTP всё ещё уязвим. Preload list — браузер знает заранее, HTTP-редирект не требуется.
1) HSTS header с max-age ≥ 31536000 (1 год), includeSubDomains и preload directive. 2) Все subdomain поддерживают HTTPS. 3) Submit на <a href="https://hstspreload.org/">hstspreload.org</a>. Chrome ревью ~1-2 недели.
Процесс необратимый в короткие сроки. Снятие через hstspreload.org — Google удаляет в следующей Chrome-release cycle (~6 недель). До этого сайт работает только через HTTPS, HTTP редиректы не помогут.
<a href="/security">Security Scanner Enterno.io</a> проверяет все security headers включая HSTS. Или: <code>curl -I https://example.com | grep -i strict</code>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.