Google: наличие HSTS не отменяет необходимости в переадресации HTTP-страниц

746

Наличие HSTS (HTTP Strict Transport Security) на сайте не отменяет необходимости в настройке переадресации с HTTP-страниц на HTTPS – несмотря на то, что этот механизм принудительно активирует защищённое соединение через HTTPS. Об этом заявил сотрудник Google Джон Мюллер, отвечая на вопрос одного из пользователей в Reddit.

Вопрос звучал так:

«Нужно ли перенаправлять HTTP-страницы при настроенном HSTS?»

Мюллер ответил следующее:

«Да, нужно. HSTS отлично подходит для добавления поверх переадресации и HTTPS, но не наоборот, поскольку это изменение сложно откатить и трудно устранить ошибки, а вам нужно время, чтобы понять, что всё правильно реализовано. Настройте сначала HTTPS, а затем подумайте о применении HSTS».

Таким образом, при переходе на HTTPS нужно сначала настроить переадресацию, а спустя несколько месяцев, когда всё уже будет сделано, можно будет подумать и о реализации HSTS. При этом удалять созданные ранее редиректы не потребуется.

Напомним, что в 2016 году Google внедрил механизм HSTS в домене Google.com.

А ранее, в 2015 году, инженер отдела качества поиска Гэри Илш предупредил вебмастеров, что реализация HSTS без поддержки HTTPS может приводить к проблемам с индексацией.

ИСТОЧНИКSearch Engine Roundtable
Редактор-переводчик. Специализируется на западном интернет-маркетинге и SEO. Освещает события в этой области с 2014 года.