technical

Activar HSTS

MetricSpot comprova la capçalera Strict-Transport-Security. HSTS força els navegadors a fer servir HTTPS a cada visita, tancant la finestra d'atac de degradació que deixa obert l'HTTPS sol.

Què comprova aquesta auditoria

Inspecciona les capçaleres de resposta HTTP cercant Strict-Transport-Security (HSTS). La directiva diu a cada navegador que rebutgi connexions HTTP planes al teu domini durant tot el max-age.

Per què importa

Fins i tot amb HTTPS activat, la primera petició que fa un nou visitant sol ser en text pla, escriu elteudomini.com i el navegador prova HTTP. Aquesta primera petició és una finestra per a atacs de degradació (man-in-the-middle estil sslstrip en wifi hostil).

HSTS tanca aquesta finestra de cop. Un cop el navegador ha vist una capçalera HSTS vàlida, reescriu automàticament cada futura petició a HTTPS durant tot el max-age, ignorant les URL http:// escrites per l’usuari.

Com solucionar-ho

Envia la capçalera a cada resposta HTTPS. Un valor segur per a producció:

Strict-Transport-Security: max-age=31536000; includeSubDomains

nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Cloudflare: SSL/TLS → Edge Certificates → HTTP Strict Transport Security (HSTS) → activa, posa max-age a 12 mesos, activa Include subdomains.

Quan estiguis segur, afegeix ; preload i envia-ho a la llista de preload de Chrome, vegeu la pàgina HSTS preload per als requisits previs.

Preguntes freqüents

Quin max-age hauria de fer servir?

Comença amb max-age=300 (5 minuts) mentre proves, després escala a 31536000 (un any). El preload d’HSTS requereix com a mínim un any.

HSTS em deixa fora si HTTPS falla?

Sí, aquest és el punt. Si el teu certificat caduca o la teva configuració TLS es trenca, els usuaris que ja havien visitat el teu lloc no hi podran arribar via HTTP com a fallback. Renova els certificats de manera fiable (Let’s Encrypt + temporitzador systemd) i monitoritza les caducitats.

I si no tinc control sobre els subdominis?

Treu includeSubDomains. La comprovació segueix passant només amb max-age, encara que perdis protecció per a *.elteudomini.com. No pots fer preload sense includeSubDomains.

Fonts

Última actualització 2026-05-11