O HSTS (HTTP Strict Transport Security) é um mecanismo de política de segurança que funciona como uma proteção extra para o seu site. Quando habilitado, o servidor envia uma instrução para o navegador dos usuários, informando que ele deve acessar aquele site apenas via HTTPS, e por quanto tempo essa informação deve ser guardada, dessa forma, mantendo uma conexão segura e prevenindo ataques e invasões.
Por exemplo: Imagine que sua casa tem duas entradas, uma delas tem câmeras, a outra não, e então, você informa que todos devem obrigatoriamente passar pela entrada que tem câmeras, sendo assim a forma mais segura de acesso, e as pessoas que tentarem passar pela outra entrada não poderão, pois essa está fechada, com avisos mostrando o caminho para a entrada segura. Assim funciona o HSTS.
Impacto nos navegadores
O Google Chrome é o navegador mais utilizado e um dos navegadores que mais abraça e implementa as medidas HSTS, não somente respeitando as políticas, mas também promovendo esse mecanismo de segurança. Vários navegadores utilizam o motor chromium (Opera, Edge, Brave), e junto ao Chrome, esses navegadores também levam vantagem, pois através do cache que é gerado pelos servidores do Google, torna o acesso e navegação desses sites ainda mais rápidos.
Então, podemos dizer que, além de tornar o seu site mais seguro, as instruções HSTS proporcionam um carregamento mais rápido para o seu site, pois quando configurado corretamente, o seu navegador entenderá que deve se conectar diretamente via HTTPS, evitando redirecionamentos e verificações se há uma versão HTTP disponível.
Como implementar as medidas HSTS
É muito importante entender que, caso acabe cometendo algum erro na configuração, seu site pode perder o certificado SSL ou até mesmo ficar fora do ar. Por isso, recomendamos fortemente que consulte seu programador para realizar as ações abaixo.
Se você possui um site WordPress e deseja implementar o HSTS no seu domínio, você pode configurar através de plugins, abaixo um passo a passo com o plugin Headers Security Advanced & HSTS WP:
- Acesse o painel administrativo do seu WordPress (wp-admin)
- Na aba lateral esquerda, passe o mouse pela opção Plugins, e em seguida clique em Adicionar plugin
- Agora, na barra de pesquisa, procure por Headers Security Advanced & HSTS WP, então clique em Instalar agora, e após em Ativar
Pronto, agora com o plugin instalado e ativado, siga os passos abaixo para configurar o HSTS no seu site:
- Na lateral esquerda, passe o mouse sobre Configurações (Settings), e depois clique na opção Headers Security Advanced & HSTS WP
- Nessa tela, role para baixo até as opções Tempo de validade, Incluir Subdomínios e Pré-carga, que são as configurações do HSTS
– Tempo de validade: Define o tempo que a informação do HSTS deve ficar armazenada pelos navegadores, o valor padrão do plugin é 63072000 (2 anos), mas você pode optar por outro valor, como 31536000 (1 ano).
– Incluir Subdomínios: Quando marcada, os subdomínios do seu site também seguirão as regras do HSTS. Apenas marque essa opção se os subdomínios também tiverem certificados SSL ativos e válidos.
– Pré-carga: Quando habilitada, essa opção permite que o seu site seja adicionado à lista de pré carregamento, que instrui os navegadores a sempre carregar o seu site a partir do protocolo HTTPS desde o primeiro acesso.
Note que, apenas ativar essa opção não adiciona o seu domínio automaticamente na lista de pré carregamento, se você deseja que o seu site seja adicionado a essa lista, você deve aplicar em um formulário através do site HSTSPreload.org, e cumprir os requisitos, que são:
Seu site e subdomínios precisam ter um SSL ativo, o max-age do HSTS precisa estar habilitado e configurado para pelo menos 1 ano (31536000), a opção Incluir subdomínios e a preload devem estar ativas.
Uma vez adicionado, o processo de remoção da lista é muito demorado (pelo menos meses), por isso, apenas adicione o seu site a lista de pré carregamento se você tiver certeza e puder garantir que o seu site permanecerá com um certificado SSL ativo por todo o período que o seu site estiver online. Caso contrário, ele poderá ficar inacessível. - Agora role a tela para baixo e clique em Salvar alterações e pronto, seu site agora está com o HSTS ativado e configurado.
Ativar o HSTS manualmente (sem plugins)
E novamente, apenas realize essa configuração se o seu site e subdomínios já possuirem um certificado SSL válido e ativo.
Outra forma de ativar o HSTS é fazer o processo manualmente, através do arquivo .htaccess, caso deseje, siga os passos abaixo para ativar desta forma:
- Acesse o painel de controle de sua hospedagem (cPanel)
- Na aba Arquivos (Files), procure por Gerenciador de arquivos (File Manager)
- Nos arquivos, procure e acesse a pasta do seu site (geralmente a public_html)
- Entre os arquivos, procure pelo .htaccess, clique com o botão direito e depois em Edit.
Note que esse é um arquivo oculto, se não estiver encontrando e não saber como visualizar arquivos ocultos, clique aqui. - Dentro do arquivo .htaccess, você precisa adicionar o seguinte comando nas últimas linhas:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
Apenas utilize o “includeSubDomains;” se o seus subdomínios possuírem um certificado SSL válido e ativo. Se você não quiser utilizar o preload, você pode também tirar ele do comando. Explicamos mais sobre ele no passo a passo acima, recomendamos que leia com atenção para entender como essa configuração funciona. - Após isso, salve o arquivo.
Seguindo esses passos, seu site deve estar configurado para usar as medidas de segurança HSTS corretamente, de acordo com suas preferências de configuração.
Você está precisando de ajuda?
Você está precisando de ajuda? Não se preocupe, saiba que sempre será um prazer te ajudar! Nossa equipe de suporte está disponível à você! Por isso, caso precise de auxilio, saiba que pode contar conosco! Envie-nos um ticket para que nosso time de especialista consiga lhe auxiliar da melhor maneira possível. Você precisa de ajuda de como abrir um ticket? Leia esse artigo.
Conseguimos te ajudar?
