logo
GeekFormat

Analitzador HSTS

Analitzador de Strict-Transport-Security

Analitzeu si la combinació max-age, includeSubDomains i preload de l'HSTS compleix els requisits del navegador i de la llista de preload.

Resum d'anàlisi

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
L'estructura HSTS sembla no tenir errors evidents

Constructor

max-age=31536000; includeSubDomains; preload

Vista prèvia JSON

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

Verifiqueu HSTS en línia, jutgeu primer si la política de forçament HTTPS és estable.

Relacionats

Casos d'ús

  • Abans de forçar HTTPS a tot el lloc, confirmeu primer si la durada HSTS i l'estratègia de subdominis són adequades per a l'entorn actual
  • Configureu valors max-age raonables i activeu includeSubDomains mitjançant el generador durant la rectificació de seguretat
  • Autoverifiqueu si la configuració inclou la instrucció preload abans de sol·licitar HSTS preload per satisfer els requisits del navegador
  • Confirmeu si la capçalera de resposta HSTS es retorna correctament i analitzeu cada instrucció durant la resolució de problemes de degradació HTTPS

Característiques

  • Desglossament clar d'instruccions clau: durada, cobertura de subdominis i condicions de preload ja no es barregen
  • Autoverificació abans de forçar HTTPS: eviteu amplificar configuracions incorrectes a tot el lloc
  • Autoverificació de precàrrega: ajuda a determinar si la capçalera HSTS s'acosta als requisits de preload
  • Comprensió ràpida de la configuració: resultats visuals per facilitar la col·laboració entre desenvolupadors, administradors i equips de seguretat

Com usar-ho

  1. Enganxeu el contingut de la capçalera de resposta HSTS a la zona d'anàlisi, o utilitzeu el generador per omplir els segons max-age i activar opcions
  2. En mode d'anàlisi, visualitzeu max-age (durada llegible), includeSubDomains, preload i advertències
  3. En mode de generació, configureu els segons max-age, activeu les opcions includeSubDomains i preload
  4. Copieu el contingut HSTS generat per a la configuració del servidor o cobriu la zona d'entrada per continuar la depuració

Preguntes freqients

Què fa HSTS?

HSTS indica al navegador que només utilitzi HTTPS per accedir a aquest lloc, reduint l'accés degradat i els atacs d'home-in-the-middle. No obstant això, no és adequat activar-lo cegament sense entendre clarament l'estratègia.

Què representen max-age, includeSubDomains i preload?

max-age indica la durada de validesa d'HSTS, includeSubDomains indica que també s'aplica als subdominis i preload està relacionat amb la llista de precàrrega del navegador. L'eina ajuda a desglossar cada element.

És adequat per verificar si un lloc web compleix els requisits de HSTS preload?

Sí. Ajuda a verificar si els camps principals estan complets, facilitant l'avaluació prèvia de si es compleixen les condicions bàsiques per entrar a la llista de precàrrega.

Per què cal verificar HSTS abans del desplegament?

Una configuració incorrecta pot fer que la política HTTPS sigui massa laxa o massa estricta. Verificar-ho abans del desplegament permet detectar més aviat camps faltants, valors irraonables o cobertura de subdominis incompleta.