HSTS là gì và tại sao nó quan trọng?

HSTS (HTTP Strict-Transport-Security) là một chính sách bảo mật buộc trình duyệt chỉ kết nối website thông qua HTTPS. Nó rất quan trọng vì nó bảo vệ người dùng khỏi các tấn công man-in-the-middle, SSL stripping, và downgrade attacks. HSTS giúp đảm bảo dữ liệu người dùng được mã hóa và truyền tải an toàn.

Làm thế nào để bật HSTS trên website?

Để bật HSTS, bạn cần thêm header HTTP "Strict-Transport-Security" vào server configuration. Ví dụ: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload. Bạn có thể cấu hình này trong Apache (.htaccess), Nginx (nginx.conf), hoặc thông qua ứng dụng web của mình. Khuyến nghị bắt đầu với max-age nhỏ hơn (3600 giây) trước khi tăng lên 1 năm.

Giá trị max-age nên là bao nhiêu?

Giá trị max-age nên ít nhất là 31536000 giây (1 năm) để website được thêm vào danh sách preload của Google. Tuy nhiên, nếu bạn mới bắt đầu, hãy bắt đầu với giá trị nhỏ hơn (3600-86400 giây) để kiểm tra. Sau khi chắc chắn mọi thứ hoạt động đúng, bạn có thể tăng max-age lên 1 năm hoặc hơn.

Preload list là gì và tại sao tôi cần nó?

Preload list là danh sách các domain được mã hóa sẵn trong trình duyệt để bắt buộc sử dụng HTTPS ngay từ lần truy cập đầu tiên. Nó bảo vệ người dùng khỏi tấn công trên lần truy cập đầu tiên trước khi trình duyệt nhận được header HSTS từ server. Để được thêm vào preload list, website cần có HSTS với max-age ≥ 31536000, includeSubDomains, và preload directive.

Công cụ kiểm tra HSTS có thể phát hiện được những vấn đề gì?

Công cụ kiểm tra HSTS có thể phát hiện: HSTS có được bật hay không, giá trị max-age hiện tại, includeSubDomains có được bật hay không, preload directive có được thiết lập hay không, và các cảnh báo về cấu hình không an toàn. Nó cũng giúp xác định liệu website có đủ điều kiện để được thêm vào preload list hay không.

Kiểm tra HSTS

Cách sử dụng Kiểm tra HSTS

Khi nào cần dùng Kiểm tra HSTS

🔒Cần mua chứng chỉ SSL?

Bảo vệ website với SSL từ BKNS — từ 199.000đ/năm, cài đặt miễn phí

Mua SSL

Kiểm tra HSTS

Cách sử dụng Kiểm tra HSTS

Khi nào cần dùng Kiểm tra HSTS

Thông tin kỹ thuật

Câu hỏi thường gặp