logo
GeekFormat

Analizzatore HSTS

Analizzatore Strict-Transport-Security

Analizza se la combinazione HSTS max-age, includeSubDomains e preload soddisfa i requisiti del browser e dell'elenco di preload.

Riepilogo analisi

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
La struttura HSTS sembra non avere errori evidenti

Builder

max-age=31536000; includeSubDomains; preload

Anteprima JSON

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

Visualizza HSTS online, prima valuta se la politica HTTPS è stabile.

Raccomandazioni correlate

Casi d'uso

  • Prima di forzare HTTPS su tutto il sito, conferma se durata HSTS e politica sottodomini sono adatte all'ambiente corrente
  • Durante la remediation sicurezza, configura un valore max-age ragionevole con il generatore e seleziona includeSubDomains
  • Prima di richiedere HSTS preload, verifica se la configurazione include l'istruzione preload soddisfacendo i requisiti del browser
  • Durante il troubleshooting di problemi di accesso HTTPS degradato, conferma se l'header di risposta HSTS viene restituito correttamente

Funzionalità

  • Istruzioni chiave separate chiaramente: durata, copertura sottodomini, condizioni preload non più mescolate
  • Auto-verifica prima di forzare HTTPS: evita di amplificare configurazioni errate a livello di intero sito
  • Auto-verifica prima del preload: aiuta a valutare se l'header HSTS si avvicina ai requisiti preload
  • Configurazione rapida da capire: risultati intuitivi, comodi per collaborazione tra sviluppo, operations e sicurezza

Come utilizzare

  1. Incolla il contenuto dell'header di risposta HSTS nell'area di analisi, oppure usa il generatore compilando i secondi max-age e selezionando le opzioni
  2. In modalità analisi visualizza max-age (durata leggibile), includeSubDomains, preload e avvisi
  3. In modalità generazione configura i secondi max-age, seleziona includeSubDomains e preload
  4. Copia il contenuto HSTS generato per la configurazione del server o sovrascrivi l'area di input per continuare il debug

Domande frequenti

A cosa serve HSTS?

HSTS indica al browser di usare solo HTTPS per questo sito in futuro, riducendo gli accessi degradati e gli attacchi man-in-the-middle, ma non è consigliabile impostarlo al massimo senza aver prima chiarito la strategia.

Cosa rappresentano rispettivamente max-age, includeSubDomains e preload?

max-age indica la durata di validità di HSTS, includeSubDomains indica che si applica anche ai sottodomini, mentre preload è correlato all'elenco di preload dei browser. Lo strumento ti aiuta a scomporre ciascun elemento.

È adatto per verificare se il sito soddisfa i requisiti HSTS preload?

Sì. Ti aiuta a verificare se i campi fondamentali sono completi, facilitando la valutazione preliminare se esistono le condizioni base per entrare nell'elenco di preload.

Perché verificare HSTS prima del deployment?

Una configurazione inadeguata può rendere la politica HTTPS troppo lasca o troppo severa. Analizzarla prima del deployment permette di individuare prima campi mancanti, valori irragionevoli o copertura incompleta dei sottodomini.