HTTPS сертификат ўрнатиш биринчи қадам, лекин SSL stripping ҳужумидан ҳимояланиш учун HSTS керак.
HSTS қандай ишлайди
Сервер браузерга махсус сарлавҳа юборади: бундан кейин бу доменни фақат HTTPS орқали оч. Браузер max-age давомида HTTP сўровларни юбормайди.
Preload рўйхати
Google preload рўйхати — браузер кодига киритилган доменлар рўйхати. Биринчи марта кирганда ҳам HTTP сўров юборилмайди.
Қўшилиш жараёни
hstspreload.org да ариза юбориш керак. max-age минимум 1 йил, includeSubDomains ва preload белгилари шарт. 6-12 ҳафта давом этади.
Сайт.уз амалиёт
Мижозларнинг 18% HSTS, 6% preload. HSTS созлаш 60 000 сўм, preload ариза 150 000 сўм.