Google.com станет безопаснее за счёт внедрения механизма HSTS

299

Google сообщил о внедрении механизма HTTP Strict Transport Security (HSTS) в домене www.google.com.

HSTS использует особый заголовок для принудительной активации защищённого соединения через протокол HTTPS даже в том случае, если в ссылке указан HTTP. Механизм  определён в спецификации RFC6797, принятой в ноябре 2012 года. Он помогает предотвратить часть атак, направленных на перехват соединения между пользователем и сайтом.

В домене www.google.com механизм HSTS уже активирован, но процесс его внедрения пока не завершён. На данный момент срок действия заголовка HSTS (max-age) установлен равным одному дню. Это сделано для того, чтобы исключить возможные нарушения нормальной работы в процессе внедрения механизма. Однако увеличение срока действия заголовка снижает вероятность того, что первоначальный запрос будет выполнен через HTTP. Поэтому в ближайшие месяцы разработчики планируют расширить max-age заголовка как минимум до года.

В ближайшем будущем Google также планирует внедрить механизм HSTS в других доменах и продуктах компании.

Редактор-переводчик. Специализируется на западном интернет-маркетинге и SEO. Освещает события в этой области с 2014 года.