HSTS क्या है और इसे कैसे सक्रिय किया जा सकता है?
HSTS (HTTP Strict Transport Security) वेबसाइटों को HTTPS कनेक्शन मजबूर करके हमलों से बचाता है। जानें कि इसे कैसे सक्रिय करें और अपने डोमेन को सुरक्षित करें!
एचएसटीएस (एचटीटीपी स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी) एक वेब सुरक्षा तंत्र है जो वेबसाइटों को "डाउनग्रेड प्रोटोकॉल" और "कुकी हाईजैकिंग" हमलों से सुरक्षित रखने में मदद करता है। एचएसटीएस का उपयोग करके, वेब सर्वर वेब ब्राउज़रों को सूचित करता है कि जहां इस तंत्र को सक्षम किया गया है, वहां कनेक्शन केवल HTTPS के माध्यम से ही होना चाहिए और कभी भी HTTP के माध्यम से नहीं, HTTP के माध्यम से किए गए अनुरोधों को अनदेखा किया जाएगा।
क्योंकि किसी वेब क्लाइंट द्वारा एक साइट से पहली बार कनेक्ट करते समय, उसे अभी नहीं पता होता है कि कनेक्शन HTTP के माध्यम से होगा या HTTPS के माध्यम से, और वह वेब सर्वर से निर्देशों की प्रतीक्षा करता है, संचार के इंटरसेप्शन की संभावना अभी भी बनी रहती है। इस जोखिम को समाप्त करने के लिए, HSTS को सक्रिय करने के बाद, डोमेन को "पूर्व-लोडिंग" वेब की सूची में शामिल किया जा सकता है। इस प्रकार, डोमेन का नाम को ब्राउज़र में केवल HTTPS के माध्यम से कार्यरत के रूप में पेश किया जाएगा।
ध्यान दें: "पूर्व-लोडिंग" सूची में जोड़े जाने के बाद, वेबसाइट अब HTTP पर कार्य नहीं करेगी, केवल HTTPS पर।
इन "प्रीलोडिंग" सूचियों और इन सूचियों से डोमेन को जोड़ने या हटाने के संबंध में अधिक विवरण पढ़ने के लिए यहां जाएं: https://hstspreload.org/.
एपाचे वेब सर्वर की .htaccess फ़ाइल में HSTS कार्यान्वयन का उदाहरण:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"