Google сообщил о внедрении механизма HTTP Strict Transport Security (HSTS) в домене www.google.com.
HSTS использует особый заголовок для принудительной активации защищённого соединения через протокол HTTPS даже в том случае, если в ссылке указан HTTP. Механизм определён в спецификации RFC6797, принятой в ноябре 2012 года. Он помогает предотвратить часть атак, направленных на перехват соединения между пользователем и сайтом.
В домене www.google.com механизм HSTS уже активирован, но процесс его внедрения пока не завершён. На данный момент срок действия заголовка HSTS (max-age) установлен равным одному дню. Это сделано для того, чтобы исключить возможные нарушения нормальной работы в процессе внедрения механизма. Однако увеличение срока действия заголовка снижает вероятность того, что первоначальный запрос будет выполнен через HTTP. Поэтому в ближайшие месяцы разработчики планируют расширить max-age заголовка как минимум до года.
В ближайшем будущем Google также планирует внедрить механизм HSTS в других доменах и продуктах компании.
