HSTS (HTTP Strict Transport Security)

HSTS (HTTP Strict Transport Security) je další zabezpečovací záhlaví (HTTP security header), které slouží k ochraně webových stránek před útoky typu Man-in-the-Middle (MITM) a snižuje riziko útoků spojených s protokolem HTTP. Hlavním cílem HSTS je zabezpečit spojení mezi prohlížečem a webovým serverem a zajistit, aby uživatelé vždy používali zabezpečené spojení (HTTPS) místo nezabezpečeného spojení (HTTP), pokud je to k dispozici.

Jak HSTS funguje:

1. Když uživatel navštíví webovou stránku, která používá HSTS, server odešle do prohlížeče odpovídající HTTP zabezpečovací záhlaví obsahující záznam HSTS. Například:
   Strict-Transport-Security: max-age=31536000


   Toto znamená, že HSTS je aktivní na této doméně po dobu jednoho roku (31 536 000 sekund).

2. Jakmile prohlížeč obdrží HSTS zabezpečovací záhlaví, bude si pamatovat, že pro tuto doménu by mělo být použito pouze zabezpečené spojení HTTPS.
3. Pokud uživatel později zadá do adresního řádku prohlížeče stejnou doménu, prohlížeč automaticky vytvoří HTTPS spojení, i když uživatel napsal „http://“ místo „https://“.

Díky tomuto mechanismu HSTS může zabránit možným útokům typu SSL Stripping, kdy útočníci pokouší přesměrovat uživatele na nezabezpečenou verzi webu nebo využívají nedostatečně zabezpečené spojení k průniku do webových stránek.

Je důležité správně nakonfigurovat HSTS a uvědomit si, že po aktivaci HSTS bude prohlížeč udržovat záznam o tom, že tato doména může být navštěvována pouze přes HTTPS po dobu stanovenou v záznamu. Proto by mělo být použití HSTS zvažováno pečlivě a testováno na důsledky na základě charakteristiky webového serveru a aplikace.