Miten HSTS otetaan käyttöön?

Mikäli sivustolla on HTTPS-varmenne käytössä (kuten kaikilla sivustoilla Seravon WP-palvelussa on), voi sivuston tietoturvaa entisestään parantaa ottamalla käyttöön tekniikan nimeltä HTTP Strict Transport Security, josta käytetään myös lyhennettä HSTS.

Kyseinen HTTP-otsake kertoo selaimelle (ja koko Internetille), että kyseisellä sivustolla on aina käytössä HTTPS ja sitä ei kuulu käyttää lainkaan ilman suojattua yhteyttä. Näin ollen mikäli selain jostain syystä näkee sivuston ilman suojausta, selain tietää, että jotain hämärää on käynnissä (esimerkiksi DNS-kaappaus) ja kieltäytyy lataamasta lainkaan epäillyttävää sivua.

HSTS:n voi ottaa käyttöön laittamalla Seravon WP-palvelussa olevalle sivustolle kansioon /data/wordpress/nginx/ tiedoston esimerkiksi nimeltä hsts.conf ja siihen sisällöksi:

add_header Strict-Transport-Security "max-age=63072000;";

Muutoksen jälkeen on vielä muistettava ajaa komento wp-restart-nginx, jotta asetus tulee voimaan.

Asetuksesta on myös olemassa tiukempi versio, jolla voi kertoa selaimille, että myös kaikki aliverkkotunnukset käyttävät aina salattua yhteyttä, eikä aliverkkotunnuksissa olevia sivustoja saa ladata selaimessa, jos yhteys on suojaamaton. Tätä emme kuitenkaan suosittele kaikille asiakkaillemme, koska asiantuntijan pitää ensin tarkistaa, että kaikki verkkotunnuksen aliverkkotunnukset tosiaan käyttävät aina ja kaikkialla vain suojattua yhteyttä ennen kuin tämä lisärajoitus on järkevää ottaa käyttöön. Tarkistuksen voi halutessaan toki tilata Seravolta asiantuntijatyönä.

Ratkaisiko tämä ongelman?