Como ativar HSTS (HTTP Strict Transport Security) no cabeçalho de resposta
HSTS significa HTTP Strict Transport Security e é um cabeçalho de segurança que foi criado como uma forma de forçar o navegador a usar conexões seguras quando um site está sendo executado em HTTPS.
Quando um usuário se conecta a um site usando HTTPS, o site então criptografa a sessão com um certificado SSL (secure sockets layer). Uma das falhas associadas ao HTTPS é que ele não é totalmente à prova de hackers: ele deixa seu site aberto à remoção de SSL. Isso geralmente ocorre com redirecionamentos 301 se um site depende de redirecionamentos 301 para alternar de HTTP para HTTPS. Embora isso não pareça um grande problema, são aqueles poucos milissegundos entre eles que você realmente precisa se preocupar, porque eles deixam o site vulnerável a hackers que tentam remover seu certificado SSL. A solução para esse problema é adicionar um cabeçalho de resposta Strict Transport Security.
Alguns serviços de hospedagem já possuem um local definido onde você possa ativar ou desativar este recurso com um clique.
Outra forma de ativar este recurso é através do arquivo .htaccess. Para isso você deve inserir a seguinte linha em seu arquivo .htaccess:
RewriteEngine On
Header set Strict-Transport-Security: max-age=16070400; includeSubDomainsDepois que a linha for inserida no arquivo, limpe o cache e monitore o resultado pelo DevTools do Google com F12.
Você também pode usar os seguintes sites para testar e confirmar que o HSTS está funcionando.
Aqui está o site 1 para teste HSTS teste 1. O resultado esperado é mostrado na imagem abaixo:
Aqui está o site 2 para teste HSTS Teste 2. O resultado esperado é mostrado na imagem abaixo:
Feito isso o seu site estará mais seguro e o seu scrore ficará com uma pontuação maior.