Проверка Strict-Transport-Security, max-age, includeSubDomains и рекомендаций для сильной HTTPS-конфигурации.
Версия методики: 0.1. Последнее обновление: 12.05.2026.
Вернуться к проверке
Что такое HSTS
- HSTS говорит браузеру всегда открывать сайт по HTTPS после первого успешного посещения.
- Это снижает риск downgrade-атак и случайного перехода на небезопасный HTTP.
- Для высокой оценки важны TLS 1.2/1.3, сильные cipher suites, корректный сертификат и включенный HSTS.
Как включать безопасно
- Начните с тестового max-age=300 и убедитесь, что весь сайт работает по HTTPS.
- После проверки увеличьте max-age до 31536000.
- includeSubDomains включайте только если все поддомены готовы к HTTPS.
- preload требует особой осторожности: это почти необратимое публичное обязательство для домена.
Что проверяет TLS Audit
- Наличие Strict-Transport-Security на HTTPS-ответе.
- Значение max-age, includeSubDomains и preload.
- Связанные заголовки безопасности, которые помогают оценить общую конфигурацию.