HSTS Nedir?

HTTP Sıkı Aktarım Güvenliği (HSTS), web sitelerini korumaya yardımcı olan bir politika mekanizmasıdır. Bu sayede bir çok saldırıdan korunmuş olunur. Normal şartlarda bir web sitesine http üzerinden gitmeye çalıştığınız zaman, eğer herhangi bir yönlendirme (301) yok ise http'ye gidebilirsiniz veya yönlendirme var ise otomatik olarak kullanıcı https'e yönlendirilir. Ancak,  HSTS'nin ise, HTTP belirten siteye URL giren veya seçen bir kullanıcının, bir HTTP isteği yapmadan otomatik olarak HTTPS'ye yükselmesidir, bu da ortadaki HTTP saldırısının gerçekleşmesini önler.

HSTS Politikasında kullanıcı ve sunucu arası yalnızca güvenli bir şekilde erişmelidir. HSTS kullanan web siteleri, HTTP üzerinden bağlantıları reddederek veya kullanıcıları sistematik olarak HTTPS belirtimi için gerekli değildir. Bunun sonucu, SSL/TLS yapamayan bir kullanıcı aracısının siteye bağlanamayacağıdır.

Örneğin: Tarayıcıdan http://google.com adresine gitmeye çalışıyorum. Ancak, HSTS aktif olduğu için, 307 internal redirect yaparak direk https üzerinden devam etmek zorunda kalıyorum.

Eğer HSTS özelliğini aktif etmek isterseniz, kullandığınız Web Sunucuları üzerinde (nginx,apache vb.) HSTS aktif edebilir veya bir load balancer ile SSL Offloading kısmında aktif edebilirsiniz.